Luận văn An toàn thông tin trong hải quan điện tử

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Đức Bảo AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIỆN TỬ KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Công nghệ thông tin HÀ NỘI - 2010 3 LỜI CẢM ƠN Lời đầu tiên tôi xin đƣợc gửi lời biết ơn sâu sắc tới Gia đình cùng toàn thể các Thầy cô giáo, những ngƣời đã sinh thành và giáo dục tôi có đƣợc ngày hôm nay. Tôi xin đƣợc gửi lời cảm ơn chân thành tới các thầy cô giáo Trƣờng Đại Học Công Nghệ - Đại Học Quốc Gia Hà Nội, những ngƣời đã trực tiếp chỉ bảo tôi những kiến thức trong suốt bốn năm học vừa qua trên ghế giảng đƣờng. Đặc biệt tôi xin đƣợc bày tỏ lòng kính trọng và biết ơn tới Thầy giáo TS. Lê Phê Đô ngƣời đã trực tiếp hƣớng dẫn, cũng nhƣ động viên, giúp đỡ tôi hoàn thành khóa luận này. Xin đƣợc gửi lời cảm ơn tới toàn thể các cán bộ, nhân viên phòng CNTT – Tổng Cục Hải quan Việt Nam đặc biệt là anh Lê Đức Thành – Trƣởng phòng đã giúp đỡ hết sức nhiệt tình trong thời gian tôi tìm hiểu và nghiên cứu đề tài. Tôi cũng xin đƣợc gửi lời cảm ơn tới bạn Phan Trọng Khanh cùng tất cả các bạn, những ngƣời đã luôn ở bên tôi khích lệ cũng nhƣ trao đổi, đóng góp để giúp tôi hoàn thành khóa luận. Xin đƣợc gửi lời chúc sức khỏe và hạnh phúc tới tất cả các thầy cô. Xin chúc thầy cô đạt đƣợc nhiều thành tựu hơn nữa trong sự nghiệp đào tạo tri thức cho đất nƣớc cũng nhƣ trong các công việc nghiên cứu khoa học. Tôi cũng xin đƣợc gửi lời chúc sức khỏe tới toàn bộ các cán bộ và nhân viên của Tổng cục Hải quan, chúc các anh chị luôn luôn làm việc hiệu quả và đạt nhiều thành tích trong công việc, trong nghiên cứu để xây dựng ngành Hải quan Việt Nam hiện đại, phát triển, sánh ngang cùng các quốc gia trong khu vực và trên thế giới, góp phần xây dựng và phát triển đất nƣớc. Chúc tất cả các bạn sức khỏe, hoàn thành xuất sắc công việc học tập và nghiên cứu của mình. Chúc các bạn một tƣơng lai tƣơi sáng và một cuộc sống thành đạt. Trân trọng cảm ơn! Hà Nội, Ngày 16 Tháng 05 năm 2010 Đỗ Đức Bảo 4 TÓM TẮT NỘI DUNG Chƣơng 1: Một số nét tổng quan về hải quan và HQĐT Việt Nam. Trong chƣơng này chúng ta sẽ thấy đƣợc quá trình phát triển, phƣơng châm làm việc cũng nhƣ nhiệm vụ của Hải quan Việt Nam. Bên cạnh đó là quá trình thực hiện thí điểm thủ tục HQĐT ở Việt Nam, các kết quả đạt đƣợc và những tồn tại cần khắc phục. Chƣơng 2: Lý thuyết về an toàn thông tin, tổng quan về chữ ký số, các thuật toán chữ ký số nhƣ RSA, DSA, SHA… và hạ tầng khóa công khai với các thành phần cũng nhƣ quy tình tạo và sử dụng chữ ký số. Chƣơng 3: Hiện trạng an toàn thông tin trong các quy trình khai HQĐT ở Việt Nam, giải pháp xây dựng hoàn thiện hệ thống hải quan điện tử đáp ứng đủ tiêu chuẩn quốc tế về an toàn thông tin. Xây dựng hệ thống chứng thực RootCA nhằm đảm bảo tính thống nhất trong ngành và thống nhất với các đơn vị khác ngoài ngành để có thể áp dụng chữ ký số vào các giao dịch. Chƣơng 4: Giới thiệu về phần mềm GNU Privacy Guard (GnuPG - GPG), hƣớng dẫn cài đặt và sử dụng phiên bản đồ họa GPA đã đƣợc Việt hóa. 5 MỤC LỤC LỜI CẢM ƠN .................................................................................................................. 3 MỤC LỤC ........................................................................................................................ 5 DANH MỤC CÁC HÌNH ẢNH ĐƢỢC SỬ DỤNG ......................................................... 7 DANH MỤC CÁC BẢNG ĐƢỢC SỬ DỤNG ................................................................. 8 DANH MỤC CÁC BẢNG ĐƢỢC SỬ DỤNG ................................................................. 8 BẢNG KÝ HIỆU VIẾT TẮT ......................................................................................... 10 MỞ ĐẦU ........................................................................................................................ 11 Chƣơng 1. TỔNG QUAN VỀ HẢI QUAN VÊṬ NAM ................................................... 13 1. Tổng quan về Hải quan Việt Nam ............................................................................ 13 2. Hải quan điện tử Việt Nam ...................................................................................... 15 2.1. Tính cấp bách phải hiện đại hoá thủ tục hải. ...................................................... 15 2.2. Nội dung thực hiện thí điểm thủ tục hải quan điện tử ở Việt Nam...................... 20 2.3. Đánh giá viêc̣ thƣc̣ hiêṇ thủ tuc̣ hải quan điêṇ tƣ̉ ............................................... 20 3. Đánh giá chung ........................................................................................................ 26 Chƣơng 2. LÝ THUYẾT VỀ AN TOÀN THÔNG TIN ................................................... 28 1. Định nghĩa an toàn thông tin .................................................................................... 28 2. Chữ ký số ................................................................................................................ 29 2.1. Khái niệm .......................................................................................................... 29 2.2. Các ƣu điểm của chữ ký số ................................................................................ 29 2.3.Thực hiện chữ ký số khóa công khai ................................................................... 30 2.4. Một vài thuật toán chữ ký số ............................................................................. 31 3. Hạ tầng khóa công khai (PKI – Public Key Infastructure) ........................................ 38 6 3.1.Tổng quan về PKI .............................................................................................. 38 3. 2. Các thành phần của PKI ................................................................................... 38 3.3. Cơ sở hạ tầng của PKI ....................................................................................... 41 3.4. Tạo và thẩm định chữ ký số ............................................................................... 43 Chƣơng 3: AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIÊṆ TƢ̉ ............................ 45 1. Thực trạng an toàn trong hải quan điện tử ở Việt Nam ............................................. 45 1.1. Thực trạng an toàn thông tin ở Việt Nam ........................................................... 45 1.2. Thực trạng an toàn trong hải quan điện tử.......................................................... 46 3. Giải pháp an toàn trong hải quan điện tử .................................................................. 58 3.1. Các giải pháp đƣợc áp dụng trong HQĐT ở một số nƣớc phát triển. .................. 58 3.2. Xây dựng giải pháp an toàn trong Hải quan điện tử Việt Nam ........................... 59 3.3. Đánh giá ............................................................................................................ 64 Chƣơng 4: PHẦN MỀM ỨNG DỤNG ........................................................................... 66 1. Gới thiệu về phần mềm ký điện tử GnuPG .............................................................. 66 2. Hƣớng dẫn cài đặt và sử dụng phiên bản đồ họa GPA trong Ubuntu ........................ 66 2.1 Cài đặt ................................................................................................................ 67 2.2 Hƣớng dẫn sử dụng ............................................................................................ 67 KẾT LUẬN .................................................................................................................... 75 TÀI LIỆU THAM KHẢO............................................................................................... 77 7 DANH MỤC CÁC HÌNH ẢNH ĐƢỢC SỬ DỤNG Hình 1: Quá trình đăng ký, cấp và sử dụng chữ ký số ..................................................... 43 Hình 2: Quá trình ký và mã hóa dữ liệu .......................................................................... 43 Hình 3: Thẩm định chữ ký số .......................................................................................... 44 Hình 4: Xác thực tính toàn vẹn của thông tin .................................................................. 44 Hình 5: Quy trình trong HQĐT ....................................................................................... 48 Hình 6: Quá trình kiểm tra sơ bộ của cơ quan hải quan đối với thông tin khai ................. 49 Hình 7: Mô hình khái quát hệ thống TQĐT .................................................................... 50 Hình 8: Trao đổi thông tin giữ doanh nghiệp, Cục và các chi cục hải quan ..................... 51 Hình 9: Quy trinh thực hiện đối với luồng xanh .............................................................. 51 Hình 10: Quy trình thực hiện đối với luồng vàng cà đỏ ................................................... 52 Hình 11: Mô hình phần mềm của hệ thống ..................................................................... 53 Hình 12: Mô hình kiến trúc hệ thống thông quan điện tử ................................................ 60 Hình 13: Mô hình hệ thống thông quan điện tử ............................................................... 60 Hình 14: Mô hình hệ thống CA dạng cây ....................................................................... 63 Hình 15: Thiết lập chế độ làm việc của phần mềm GPA ................................................ 68 Hình 16: Nhập thông tin để tạo khóa ............................................................................... 68 Hình 17: Quá trình tạo khóa, ngƣời dùng di chuột hoặc chơi game để tăng tính ngẫu nhiên cho khóa ......................................................................................................................... 69 Hình 18: Quản lý khóa .................................................................................................... 70 Hình 19: Sử dụng khóa ................................................................................................... 71 Hình 20: Ký tài liệu ........................................................................................................ 72 Hình 21: Kiểm tra chữ ký ............................................................................................... 73 Hình 22: Mã hóa tài liệu ................................................................................................. 74 8 DANH MỤC CÁC BẢNG ĐƢỢC SỬ DỤNG Bảng 1: Kim ngạch XNK (Nguồn: Tài liệu thống kê của Tổng cục Hải quan) ................ 16 Bảng 2: Số lƣợng tờ khai XNK và số lƣợng doanh nghiệp tham gia XNK từ năm 2002 – 2006 (nguồn: Tài liệu thống kể của Tổng cục Hải quan) ............................................... 17 9 DANH MỤC CÁC BIỂU ĐỒ ĐƢỢC SỬ DỤNG Biểu đồ 1: Số tờ khai đƣợc làm thủ tục hải quan điện tử qua các tháng (nguồn: Báo cáo về việc triển khai thủ tục TQĐT của cục CNTT và Thống kê hải quan) .............................. 21 10 BẢNG KÝ HIỆU VIẾT TẮT Viết tắt Nội dung tiếng Anh Nôị dung tiếng Việt ATTT An toàn thông tin CNTT Công nghê ̣thông tin Db Database Cơ sở dữ liệu DL Dữ liệu DSA Digital Signature Algorithm Thuật toán chữ ký số EDI Electronic Data Interchange Hệ thống trao đổi dữ liệu điện tử GTT22 Hệ thống thông tin giá tính thuế XNK HQĐT Hải quan điện tử KT559 Chƣơng trình kế toán thuế NSXXK Nhâp̣ khẩu nguyên liêụ phuc̣ vu ̣sản xuất xuất khẩu QLRR Quản lý rủi ro RSA Ron Rivest, Adi Shamir, Len Adleman 3 tác giả của thuật toán SHA Secure Hash Algorithm Thuật toán mã hóa an toàn bằng hàm băm SLXNK Số liệu xuất nhập khẩu SXXK Sản xuất xuất khẩu XNK Xuất nhâp̣ khẩu 11 MỞ ĐẦU Trƣớc chủ trƣơng chủ động hội nhập kinh tế khu vực và thế giới, Việt Nam đang từng bƣớc cải cách các thủ tục hành chính nhằm đơn giản hóa các quy trình, thiết lập môi trƣờng thông thoáng và hấp dẫn, tạo điều kiện cho các hoạt động thƣơng mại, hoạt động sản xuất kinh doanh phát triển. Với mục tiêu trên, trong những năm gần đây ngành Hải quan đang nỗ lực triển khai cải cách và hiện đại hóa hải quan. Thực tế cho thấy, số lƣợng doanh nghiệp tham gia sản xuất kinh doanh xuất nhập khẩu đã tăng lên nhanh chóng, số lƣợng tờ khai hải quan là rất lớn. Bên cạnh đó các loại tội phạm nhƣ buôn lậu, vận chuyển ma túy, vũ khí ngày càng gia tăng với hành vi và thủ đoạn vô cùng tinh vi. Để đối phó với tình hình đó, hải quan điện tử đã ra đời. Với hải quan điện tử, các doanh nghiệp có thể khai hải quan và làm thủ tục hải quan rất thuận lợi do các đơn vị hải quan có thể xử lý một khối lƣợng lớn công việc trong thời gian rất ngắn, tiết kiệm đƣợc chi phí, thời gian và tiền bạc, chống lại các hành động tiêu cực do doanh nghiệp không trực tiếp làm việc với các cán bộ hải quan. Bên cạnh đó, cơ quan hải quan cũng kiểm soát đƣợc các hoạt động của các doanh nghiệp từ đó kiểm soát đƣợc các hoạt động phạm tội nhƣ đã nêu ở trên. Dù mới chỉ ở giai đoạn thí điểm, nhƣng kết quả mà hải quan điện tử đạt đƣợc là không nhỏ. Tuy nhiên, vần còn tồn tại rất nhiều thiếu sót cần phải đƣợc giải quyết ngay trong thời gian sắp tới. Đó là hệ thống hải quan điện tử chƣa đƣợc xây dựng hoàn thiện, thiếu đồng bộ, tính tự động còn thấp do chƣa xây dựng đƣợc hệ thống quản lý rủi ro cũng nhƣ là chƣa chuẩn hóa đƣợc danh sách các mặt hàng xuất nhập khẩu. Nghiêm trọng nhất là vấn đề an toàn thông tin trong hải quan điện tử chƣa đƣợc đảm bảo. Đây là vấn đề lớn và là vấn đề cần phải giải quyết đầu tiên nhằm hoàn thiện hệ thống hải quan điện tử. Trên thế giới, một biện pháp an toàn thông tin đang đƣợc sử dụng rộng rãi và đã mang lại nhiều lợi ích cho ngƣời dùng trong các giao dịch điện tử đặc biệt là thƣơng mại điện tử, đó là việc sử dụng chữ ký số vào các quá trình trao đổi thông tin. Với chữ ký số, thông tin truyền trong hệ thống đƣợc đảm bảo tính toàn vẹn, tính tin vậy và tính không thể phủ nhận. Với tình hình hiện tại ở Việt Nam đặc biệt là trong lĩnh vực hải quan điện tử thì việc áp dụng chữ ký số nhằm đảm bảo an toàn thông tin là hoàn toàn phù hợp và khả thi. Để có thể áp dụng chữ ký số, Hải quan Việt Nam cần phải xây dựng đƣợc một hệ thống 12 chứng thực số theo mô hình RootCA nhằm thống nhất chứng thực trong toàn ngành cũng nhƣ dễ dàng thống nhất với các hệ thống chứng thực ngoài ngành. Thực hiện đƣợc mục tiêu này thì các doanh nghiệp có thể hoàn toàn yên tâm khi sử dụng hệ thống. Bên cạnh đó thì các tiêu chuẩn về an toàn cũng đƣợc đảm bảo, từ đó hệ thống hải quan điện tử của Việt Nam có thể kết nối với hệ thống hải quan của khu vực và của cả thế giới, tạo thành một khối thống nhất, thúc đẩy sự phát triển mạnh mẽ của các ngành thƣơng mại, dịch vụ, du lịch, xuất nhập khẩu… Đó chính là nhiệm vụ của ngành Hải quan trong thời kỳ đất nƣớc hội nhập. 13 Chƣơng 1. TỔNG QUAN VỀ HẢI QUAN VÊṬ NAM 1. Tổng quan về Hải quan Việt Nam Năm 1945 Cách mạng tháng 8 thành công, Hồ Chủ tich đã đọc bản Tuyên ngôn độc lập khai sinh nƣớc Việt Nam dân chủ cộng hoà. Tuy nhiên, sau đó Việt Nam vẫn phải tiếp tục trải qua 30 năm chiến tranh ác liệt và cả một quá trình dài để hàn gắn vết thƣơng chiến tranh. Ngày 10 tháng 9 năm 1945, Bộ trƣởng Bộ Nội vụ Võ Nguyên Giáp thừa uỷ quyền của Chủ tịch Chính phủ lâm thời Việt nam dân chủ cộng hoà ký Sắc lệnh số 27 - SL thành lập "Sở thuế quan và thuế gián thu" khai sinh Hải quan Việt Nam. Với mục đích đảm bảo việc kiểm soát hàng hoá XNK và duy trì nguồn thu ngân sách Hải quan Việt Nam không ngừng chăm lo xây dựng, hoàn thiện và nâng cao cơ sở pháp lý - quản lý Nhà nƣớc để ngày càng phù hợp hơn với thực tiễn của nƣớc Việt Nam. Từ chỗ Hải quan Việt Nam còn phải tạm thời sử dụng những quy định nghiệp vụ về thuế quan của chính quyền thực dân đến nay đã xây dựng và ban hành đƣợc “Điều lệ Hải quan”, Pháp lệnh Hải quan và tiếp đó là Luật Hải quan Việt Nam có hiệu lực từ ngày 1 tháng 1 năm 2002. Với những mục tiêu nhằm tạo thuận lợi cho phát triển XNK, thu hút đầu tƣ nƣớc ngoài, phát triển du lịch và giao thƣơng quốc tế, đảm bảo quản lý, nâng cao chất lƣợng, hiệu quả công tác Hải quan Việt Nam đã luôn luôn thực hiện theo khẩu hiệu mà mình đã đặt ra: “Thuận lợi, tận tuỵ, chính xác”. Mục tiêu của chúng là là xây dựng hải quan Việt Nam thành lực lƣợng có tính chuyên nghiệp cao, có chuyên môn sâu và hiện đại, hoạt động minh bạch, liêm chính và có hiệu quả nhằm đáp ứng yêu cầu của tình hình và nhiệm vụ phát triển kinh tế đất nƣớc. Với phƣơng châm hoaṭ đôṇg “Thuâṇ lơị , tâṇ tuỵ và chính xác”, nhiêṃ vu ̣đƣơc̣ đăṭ ra đối với ngành hải quan là: - Quản lý có hiệu quả các hoạt động xuất nhập khẩu và giao lƣu quốc tế, tạo điều kiện cho thƣơng mại và sản xuất phát triển. - Bảo vệ vàtạo điều kiện thuận lợi cho sự phát triển của nền kinh tế quốc gia. - Bảo đảm nguồn thu cho ngân sách. - Chống buôn lậu, gian lận thƣơng mại, bảo vệ lợi ích ngƣời tiêu dùng. 14 - Góp phần bảo vệ chủ quyền kinh tế, an ninh quốc gia và an toàn xã hội. - Phục vụ quản lý kinh tế xã hội. Để thƣc̣ hiêṇ tốt cá c nhiêṃ vu ̣trên , ngành Hải quan cũng đã xây dựng đƣợc kế hoạch, chiến lƣơc̣ phát triển đến năm 2010, tầm nhìn đến 2020. Đó là viêc̣ phải cải cách , phát triển hiện đại hóa ngành với mục tiêu đổi mới , hiêṇ đaị hóa môṭ cách maṇh mẽ, toàn diêṇ các măṭ công tác Hải quan nhằm nâng cao năng lƣc̣ quản lý , tạo thuận lợi cho các hoạt động giao lƣu thƣơng mại và thực hiện đầy đủ các cam kết quốc tế . Yêu cầu đặt ra là ngành Hải quan phải quản lý lƣợng hàng hóa XNK, lƣợng hành khách, phƣơng tiện vận tải XNK ngày càng gia tăng. Dự báo hoạt động buôn bán vận chuyển ma tuý, chất gây nghiện, vũ khí, văn hóa phẩm đồi truỵ, phản động ngày càng gia tăng và phức tạp hơn, xuất hiện những hình thức buôn lậu và gian lận mới nhƣ: vi phạm bản quyền, xâm phạm sở hữu trí tuệ, vi phạm trong lĩnh vực CNTT, rửa tiền, buôn lậu động thực vật quý hiếm… Nhƣng số lƣợng cán bộ công chức Hải quan không thể tăng theo tỷ lệ thuận. Trong khi đó, hoạt động quản lý Nhà nƣớc về Hải quan vẫn phải đảm bảo tạo thuận lợi, thông thoáng cho hoạt động XNK, đầu tƣ, du lịch, dịch vụ... nhƣ thủ tục hải quan phải đơn giản, minh bạch, cung cấp thông tin nhanh chóng, công khai, đặc biệt là phải thông quan nhanh, giảm thiểu chi phí cho doanh nghiệp, tạo môi trƣờng thu hút đầu tƣ nƣớc ngoài nhằm đạt đƣợc các mục tiêu phát triển kinh tế xã hội của Đất nƣớc liên quan đến hoạt động quản lý Nhà nƣớc về Hải quan và thu ngân sách và yêu cầu cải cách nền hành chính Quốc gia. Xuất phát từ yêu cầu hội nhập và xu hƣớng phát triển của Hải quan quốc tế cũng nhƣ khu vực, Hải quan Việt Nam cần phải thực hiện đầy đủ các cam kết quốc tế liên quan đến Hải quan Trong khuôn khổ WTO, ASEAN, APEC, ASEM, WCO và các tổ chức Quốc tế khác, Việt Nam cần phải đảm bảo hệ thống pháp luật về hải quan đầy đủ, thống nhất, rõ ràng và công khai, phù hợp với các cam kết quốc tế; đảm bảo cho các quy định của pháp luật hải quan đƣợc thực hiện nghiêm chỉnh, bình đẳng cho mọi đối tƣợng. Bên cạnh đó, cũng cần nhìn nhận sự phát triển của Hải quan Việt Nam trong bối cảnh phát triển thƣơng mại quốc tế nhƣ việc xuất hiện các hình thức bảo hộ mới trong điều kiện thuế ngày càng giảm, yêu cầu về luân chuyển, trao đổi hàng hóa ngày càng nhanh chóng, các loại hình vận chuyển đa phƣơng thức, thƣơng mại điện tử ngày càng phát triển và trở 15 thành phổ biến, sự xuất hiện của các nguy cơ khủng bố quốc tế, tội phạm ma tuý gia tăng... Năm 2010, Hải quan Việt Nam phấn đấu trở thành Hải quan tiên tiến trong khu vực ASEAN, hiêṇ đại theo tiêu chuẩn quốc tế, chuyên nghiêp̣ minh bac̣h và liêm chính trong hoaṭ đôṇg , tạo điều kiện thuận lợi cho các hoạt động XNK , đầu tƣ và du lic̣h . Đó chính là nhiệm vụ quan trọng trong chiến lƣợc phát triển đất nƣớc trong thời kỳ hội nhập. 2. Hải quan điện tử Việt Nam Trên cơ sở lộ trình cải cách hành chính, hiện đại hóa ngành hải quan và dựa trên Luật hải quan sửa đổi vừa đƣợc Quốc hội khóa XI, kỳ họp thứ 7 thông qua tháng 5/2005, đồng thời từng bƣớc cải cách hoạt động nghiệp vụ hải quan theo hƣớng phù hợp với chuẩn mực của hải quan hiện đại trong khu vực và thế giới; chuyển đổi từ thủ tục hải quan công sang thủ tục HQĐT, để góp phần đẩy mạnh cải cách hành chính trong ngành hải quản, giúp cho ngành Hải quan nƣớc ta tƣơng thích với Hải quan các nƣớc trong khu vực và phù hợp với tiến trình hội nhập, nhất là trong bối cảnh chúng ta đang chuẩn bị gia nhập WTO, ngày 20 tháng 6 năm 2005 Chính phủ đã ban hành Quyết định số 149/2005/QĐ- TTg về việc thực hiện thí điểm thủ tục HQĐT, ngày 19 tháng 7 năm 2005 Bộ Tài chính ban hành Quyết định số 50/2005/QĐ-BTC ban hành Quy định quy trình thự hiện thí điểm thủ tục HQĐT đối với hàng hóa xuất khẩu, nhập khẩu. 2.1. Tính cấp bách phải hiện đại hoá thủ tục hải quan. 2.1.1. Yêu cầu thực hiện khối lƣợng công việc tăng lên nhanh chóng. Với tốc độ tăng trƣởng kinh tế hơn 7%/năm, kim ngạch xuất nhập khẩu hàng năm liên tục tăng. Kim ngạch xuất khẩu tăng từ 16.705,84 triệu USD năm 2002 lên 39.826,21 triệu USD trong năm 2006. Đồng thời, kim ngạch nhập khẩu cũng tăng với tỷ lệ tƣơng đƣơng từ 19.733,04 triệu USD (năm 2002) lên 44.891,11 triệu USD (năm 2006). Thời kỳ 2001-2006, xuất khẩu hàng hoá tăng bình quân 24,32%/năm, dự báo thời kỳ 2006-2010 sẽ tăng bình quân 20,44%/năm. Theo dự báo của Bộ Thƣơng Mại, tổng kim ngạch xuất khẩu hàng hoá và dịch vụ tới năm 2010 sẽ đạt khoảng 62.234,8 triệu USD. Nhập khẩu hàng hoá tăng bình quân trong thời kỳ 2001-2006 là 22,91%/năm, dự báo thời kỳ 2006-2010 là 18,09%/năm. Tổng kim ngạch nhập khẩu dịch vụ tới năm 2010 là 68.711,86 triệu USD. 16 Bảng 1: Kim ngạch XNK (Nguồn: Tài liệu thống kê của Tổng cục Hải quan) KIM NGẠCH XNK (TRIỆU USD) Năm Tổng số Tỷ lệ tăng Xuất khẩu Tỷ lệ tăng Nhập khẩu Tỷ lệ tăng 2002 36,438.88 16,705.84 19,733.04 2003 45,402.97 24.60% 20,176.02 20.77% 25,226.95 27.84% 2004 58,458.02 28.75% 26,504.16 31.36% 31,953.86 26.67% 2005 69,419.90 18.75% 32,441.90 22.40% 36,978.00 15.72% 2006 84,717.32 22.04% 39,826.21 22.76% 44,891.11 21.40% Dự báo 2010 62,234.80 66.30% 68,711.86 53.06% Số lƣợng tờ khai và số lƣợng doanh nghiệp xuất nhập khẩu cũng ngày càng tăng với tốc độ tƣơng ứng từ 538 nghìn tờ khai xuất khẩu năm 2002 đến 1.124,471 nghìn tờ khai xuất khẩu năm 2006. Cứ với tốc độ tăng trƣởng kinh tế, đặc biệt là thƣơng mại quốc tế nhƣ hiện nay, cùng với những kích thích tố do Việt Nam trở thành thành viên của WTO, kim ngạch xuất nhập khẩu và khối lƣợng giao dịch trong các năm tới sẽ còn tiếp tục tăng. Do đó, khối lƣợng công việc của các cán bộ hải quan sẽ tăng lên nhanh chóng. Khối lƣợng công việc thì ngày một gia tăng trong khi thời gian và số lƣợng cán bộ hải quan thì có hạn, hơn nữa, hàng hoá xuất nhập khẩu chủ yếu dồn vào một số cửa khẩu chính. Yêu cầu bức thiết đặt ra là làm thế nào để có thể giải quyết đƣợc khối lƣợng công việc khổng lồ đó trong thời gian ngắn nhất nhằm nâng cao hiệu quả công việc, tạo điều kiện thuận lợi cho các doanh nghiệp tham gia vào hoạt động xuất nhập khẩu, tiết kiệm chi phí. Trƣớc yêu cầu cấp bách này, thủ tục HQĐT ra đời nhằm làm tăng hiệu suất công việc chỉ cần một số lƣợng nhân viên ít để giải quyết khối lƣợng công việc lớn. 17 Bảng 2: Số lượng tờ khai XNK và số lượng doanh nghiệp tham gia XNK từ năm 2002 – 2006 (nguồn: Tài liệu thống kể của Tổng cục Hải quan) Năm Số lƣợng tờ khai Số lƣợng doanh nghiệp Xuất khẩu Nhập khẩu Xuất khẩu Nhập khẩu 2002 538.231 625.437 8.214 12.890 2003 656.945 742.118 9.313 15.183 2004 819.059 876.963 10.797 17.583 2005 948.101 1.001.846 12.216 20.463 2006 1.124.471 1.195.194 14.384 27.278 Dự báo 2010 1.687.543 1.728.643 25.000 37.000 2.1.2. Yêu cầu quản lý Nhà nƣớc và cộng đồng doanh nghiệp Trƣớc một thực tế đã nêu ở trên, khi khối lƣợng hàng hoá xuất nhập khẩu tăng lên, số lƣợng doanh nghiệp tham gia hoạt động xuất nhập khẩu ngày càng tăng, thì một bài toán hóc búa đặt ra đối với công tác quản lý của Nhà nƣớc là làm sao để quản lý hoạt động xuất nhập khẩu một cách hiệu quả nhất. Trong thủ tục hải quan truyền thống, khi doanh nghiệp tiến hành làm thủ tục Hải quan sẽ phải thực hiện việc khai hải quan, xuất trình cho cán bộ hải quan các giấy tờ liên quan (dạng văn bản). Điều này không những gây khó khăn cho phía doanh nghiệp mà còn tăng thời gian giải phóng hàng do cán bộ hải quan mất nhiều thời gian để kiểm tra hồ sơ dẫn đến ùn tắc công việc đó là chƣa kể đến xảy ra nhiều tiêu cực do doanh nghiệp tiếp xúc trực tiếp với cán bộ Hải quan. Hải quan điện tử cho phép doanh nghiệp khai thông tin về hàng hóa XNK ở dạng điện tử và gửi đến cơ quan Hải quan, cán bộ hải quan có thể kiểm tra trƣớc thông tin và thực hiện các thủ tục liên quan (phân luồng hàng hóa, thông báo cho doanh nghiệp trong trƣờng hợp yêu cầu khai lại hoặc kiểm tra hồ sơ hoặc kiểm tra thực tế, ...). Vì vậy sẽ giảm thời gian thông quan và giảm việc tiếp xúc trực tiếp giữa cán bộ hải quan và doanh nghiệp. 18 Ngoài ra thông tin về doanh nghiệp ở dạng điện tử sẽ đƣợc lƣu trữ, khai thác với qui mô rộng hơn, tần xuất cao hơn, chính xác hơn so với hồ sơ giấy. 2.1.3. Yêu cầu hội nhập và xu hƣớng phát triển của hải quan quốc tế. Hội nhập kinh tế quốc tế đòi hỏi chúng ta phải cải cách rất nhiều thủ tục hành chính trong đó có hoạt động quản lý hải quan. Đặc biệt trong giai đoạn hiện nay, khi Việt Nam đã là thành viên của WTO, thì việc cải cách hoạt động nghiệp vụ hải quan theo hƣớng phù hợp với chuẩn mực của hải quan thế giới lại càng trở lên cần kíp. Muốn tham gia vào trò chơi, trƣớc tiên, ta phải tuân thủ luật chơi. Cũng nhƣ vậy, muốn hội nhập kinh tế với khu vực và thế giới, ta phải điều chỉnh các chính sách, cơ chế của mình sao cho vừa phù hợp với các quy định của các tổ chức trong khu vực và thế giới đó, lại vừa đảm bảo bảo vệ tối đa lợi ích của quốc gia. Hiện đại hoá hải quan và cải cách các thủ tục, nghiệp vụ hải quan theo hƣớng phù hợp với chuẩn mực của hải quan hiện đại trong khu vực và quốc tế tạo cho chúng ta khả năng tận dụng tối đa lợi thế mà hội nhập đem lại. Một hành lang thông thoáng, phù hợp với khu vực và thế giới với cách làm việc hiện đại, ứng dụng thành tựu của công nghệ thông tin sẽ giúp chúng ta đẩy mạnh thƣơng mại hai chiều giữa Việt Nam và phần còn lại của thế giới; đuổi kịp công nghệ, cách quản lý hiện đại của thế giới; nhanh chóng hoà nhập với các nƣớc thành viên. Ngoài ra, khi đã trở thành thành viên của các tổ chức hợp tác kinh tế khu vực và quốc tế, hiện đại hoá thủ tục hải quan cũng là một trong nhƣng yêu cầu mang tính bắt buộc, thực hiện các cam kết và công ƣớc quốc tế... 2.1.4. Sự phát triển của thƣơng mại quốc tế cả về nội dung và hình thức. Thƣơng mại quốc tế phát triển ngày càng đa dạng và phong phú. Nếu nhƣ trƣớc kia chỉ có thƣơng mại hàng hoá truyền thống thì ngày nay, thƣơng mại quốc tế phát triển với nhiều hình thức mới, nhiều loại hàng mới: thƣơng mại điện tử, thƣơng mại dịch vụ…. Song song với hình thức thƣơng mại quốc tế truyền thống, thƣơng mại điện tử đang ngày càng phát triển và tƣơng lại sẽ là hình thức chiếm ƣu thế. Đồng thời, khối lƣợng và giá trị một giao dịch cũng ngày một lớn đòi hỏi việc khai báo hải quan cũng phải có những cải cách sao cho phù hợp. 19 Với hình thức thƣơng mại điện tử, các giao dịch đều thông qua hệ thống máy tính và Internet có ứng dụng công nghệ thông tin cao, nên việc áp dụng hình thức khai báo HQĐT là rất phù hợp. Nó làm cho việc khai báo hải quan vừa nhanh chóng, vừa tiện lợi và chính xác. Do vậy, trƣớc sự phát triển mạnh mẽ của thƣơng mại quốc tế, thủ tục khai hải quan cũng cần phải có sự thay đổi tƣơng ứng. 2.1.5. Sự xuất hiện của các nguy cơ khủng bố quốc tế, vận chuyển ma tuý, vũ khí và hoạt động rửa tiền dƣới mọi hình thức. Ngày nay, cùng với sự phát triển của khoa học kỹ thuật, công nghệ thông tin và thƣơng mại quốc tế, các tổ chức tội phạm quốc tế hoạt động ngày càng tinh vi hơn, đòi hỏi các quốc gia phải có những biện pháp quản lý chặt chẽ, kịp thời ngăn chặn phá vỡ âm mƣu của chúng. Nhƣ chúng ta đã biết, tình hình chính trị tại một số nơi trên thế giới rất bất ổn, nguy cơ xảy ra khủng bố có thể diễn ra ở bất cứ quốc gia nào. Đồng thời, việc buôn bán và vận chuyển chất ma tuý, vũ khí diễn ra ngày càng tinh vi hơn, dƣới nhiều hình thức đa dạng và phong phú hơn. Các tổ chức tội phạm tìm mọi cách để có thể đƣa ma tuý và vũ khí trái phép ra/ vào nƣớc ta. Cùng với đó, hoạt động rửa tiền của các tổ chức tội phạm quốc tế tại nƣớc ta cũng ngày càng gia tăng. Thực trạng trên, đòi hỏi chúng ta phải có hình thức quản lý chặt chẽ để có thể phát hiện, hạn chế và ngăn chặng những hoạt động phạm pháp trên. Trong đó, công tác hải quan đóng một vai trò đặc biệt quan trọng. 2.1.6 Theo quyết định của Thủ tƣớng chính phủ vê việc thí điểm thực hiện thủ tục hải quan điện tử Trƣớc những đòi hỏi về hiện đại hoá hải quan cũng nhƣ nhận biết rõ tầm quan trọng của việc cải cách các thủ tục hải quan, ngày 20/6/2005, Thủ tƣớng chính phủ đã ra quyết định 149/2005/QĐ-TTg về việc thực hiện thí điểm thủ tục HQĐT. Theo đó, một số doanh nghiệp tham gia hoạt động XNK sẽ đƣợc chọn để thực hiện thí điểm thủ tục HQĐT và việc thực hiện thí điểm này sẽ đƣợc tiến hành tại cục Hải quan thành phố Hồ Chí Minh, Chi cục HQĐT TP. Hồ Chí Minh và cục Hải quan thành phố Hải Phòng, Chi cục HQĐT Hải Phòng. 20 Quy trình thủ tục HQĐT và lộ trình thực hiện HQĐT đƣợc thực hiện theo quyết định 149/QĐ-TTg ngày 20/6/2005 và theo công văn số 3339/TCHQ-HĐH ngày 19/802005 của Tổng Cục Hải Quan hƣớng dẫn chi tiết quy trình thủ tục HQĐT. 2.2. Nội dung thực hiện thí điểm thủ tục hải quan điện tử ở Việt Nam 2.2.1. Đối tƣợng áp dụng Khuyến khích tất cả các doanh nghiệp thuộc mọi thành phần kinh tế tự nguyện đăng ký tham gia thủ tục HQĐT, nhƣng giai đoạn đầu cần đáp ứng các điều kiện sau: - Minh bạch trong tài chính: có xác nhận của Cơ quan Thuế nội địa trong việc chấp hành tốt kê khai và nộp thuế theo quy định. - Không vi phạm pháp luật hải quan quá 1 lần thuộc thẩm quyền xử phạt vi phạm hành chính của Cục trƣởng Cục Hải quan tỉnh, liên tỉnh, thành phố trực thuộc trung ƣơng trở lên trong thời gian một (01) năm, tính đến ngày đăng ký tham gia làm thủ tục HQĐT. - Có kim ngạch xuất nhập khẩu và/ hoặc có lƣu lƣợng tờ khai đạt mức do Tổng cục trƣởng Tổng cục Hải quan quyết định cụ thể theo từng giai đoạn thực hiện thí điểm thủ tục HQĐT. - Sẵn sàng nối mạng máy tính với Chi cục HQĐT hoặc sử dụng dịch vụ của Đại lý làm thủ tục hải quan để làm thủ tục HQĐT. 2.2.2 Phạm vi áp dụng Quy trình thủ tục HQĐT áp dụng đối với hàng hoá XNK theo hợp đồng mua bán làm thủ tục hải quan tại Cục hải quan thành phố Hải phòng, Cục Hải quan thành phố Hồ Chí Minh và các Cục hải quan tỉnh, thành phố khác khi đƣợc phép thực hiện thí điểm thủ tục HQĐT do Bộ trƣởng Tài chính quy định. 2.3. Đánh giá viêc̣ thƣc̣ hiêṇ thủ tuc̣ hải quan điêṇ tƣ̉ 2.3.1. Kết quả đạt đƣợc Thủ tục HQĐT đã nhận đƣợc nhiều sự ủng hộ nhiệt tình của cộng đồng doanh nghiệp. Thành công của việc thực hiện TQĐT đƣợc thể hiện qua những nét sau. 2.3.1.1. Rút ngắn thời gian thông quan, tiết kiệm đƣợc chi phí. 21 Trƣớc đây để làm thủ tục hải quan cho một lô hàng, doanh nghiệp cần ít nhất là 7-8 tiếng, thế nhƣng với HQĐT thì có thể chỉ mất 2-3 phút cho một lô hàng. Chỉ một chiếc máy tính nối mạng với cơ quan Hải quan, doanh nghiệp kê khai các thông tin theo yêu cầu chuẩn xác là đã có thể đƣợc cơ quan hải quan xác nhận hoàn thành thủ tục trên hệ thống. Việc rút ngắn thời gian thông quan không những giúp doanh nghiệp giải phóng hàng nhanh chóng, tiết kiệm đƣợc chi phí lƣu kho, lƣu bãi... mà tránh cho doanh nghiệp phải đi lại nhiều lần, tiết kiệm đƣợc thời gian và chi phí. Chính vì vậy chỉ sau khi đƣa vào thực hiện, số lƣợng tờ khai đƣợc mở qua các chi cục HQĐT đã đƣợc tăng lên nhanh chóng. Biểu đồ 1: Số tờ khai được làm thủ tục hải quan điện tử qua các tháng (nguồn: Báo cáo về việc triển khai thủ tục TQĐT của cục CNTT và Thống kê hải quan) Theo thống kê tại Chi cục HQĐT TP Hồ Chí Minh, thời gian làm thủ tục trung bình là 5-10 phút cho tờ khai luồng xanh; 20-30 phút cho một tờ khai luồng vàng và 1-2 giờ cho một tờ khai luồng đỏ. Nhƣ vậy so với thủ tục hải quan truyền thống thì thời gian trung bình đã giảm từ 4-8 giờ cho một lô hàng. Đây là một kết quả rất đáng ghi nhận Thủ tục HQĐT đã nhận đƣợc nhiều sự ủng hộ nhiệt tình của cộng đồng doanh nghiệp. Thành công của việc thực hiện TQĐT đƣợc thể hiện qua những nét sau: 0 200 400 600 800 1000 1200 1400 09/2005 11/2005 01/2006 03/2006 05/2006 Tờ khai HQĐT TP.Hồ Chí Minh HQĐT Hải Phòng 22 2.3.1.2. Giảm bớt các thủ tục hành chính: Thủ tục HQĐT bƣớc đầu chuyển đổi phƣơng thức quản lý từ truyền thống sang hiện đại: từ quản lý giao dịch sang quản lý doanh nghiệp, từ xử lý trên giấy tờ sang xử lý trên máy tính, hiện đại hoá Hải quan trên cơ sở áp dụng QLRR. Thủ tục HQĐT cho phép giảm tối đa lƣợng giấy tờ phải nộp cho cơ quan hải quan, tất cả thông tin khai báo về lô hàng đều đƣợc quản lý trên máy tính nên doanh nghiệp chỉ việc in tờ khai, ký đóng dấu và đến chi cục Hải quan cửa khẩu để lấy hàng (thay vi phải luân chuyển bộ hồ sơ qua các bộ phận: tiếp nhận, kiểm hoá, tính thuế). Nhƣ vậy đối với những lô hàng thuộc luồng xanh, doanh nghiệp không phải xuất trình cho cơ quan hải quan bất cứ một loại giấy tờ gì. Đây cũng là một ƣu điểm của HQĐT so với thủ tục hải quan truyền thống. 2.3.1.3. Tăng trách nhiệm của doanh nghiệp xuất nhập khẩu Hệ thống thông tin quản lý của cơ quan Hải quan buộc doanh nghiệp phải nâng cao trách nhiệm. Cơ quan Hải quan cho thông quan hàng hoá trên cơ sở khai báo của doanh nghiệp và đẩy mạnh hoạt động kiểm tra sau thông quan. Doanh nghiệp đã từng vi phạm, khai báo sai... sẽ đƣợc lƣu giữ và cảnh báo bởi cơ sở dữ liệu của Hải quan. 2.3.1.4. Giảm tiêu cực, tăng cƣờng chống buôn lậu và gian lận thƣơng mại Với thủ tục HQĐT, doanh nghiệp không cần phải tiếp xúc trực tiếp với cơ quan hải quan, vì vậy giảm đƣợc tiêu cực. Tránh đƣợc việc gây phiền hà, sách nhiễu của cán bộ công chức hải quan. Hải quan điện tử cho phép thực hiện việc quản lý thông tin theo cả một quá trình hoạt động của doanh nghiệp, chứ không chỉ riêng từng lô hàng. Từ đó hạn chế đƣợc gian lận thƣơng mại và chống buôn lậu. 2.3.1.5. Giảm khối lƣợng công việc cho cơ quan Hải quan Thực hiện thủ tục HQĐT, giúp cơ quan hải quan giảm đƣợc khối lƣợng lớn công việc so với thủ tục hải quan truyền thống. Nếu nhƣ theo thủ tục hải quan truyền thống, khi doanh nghiệp đăng ký tờ khai cơ quan hải quan phải kiểm tra thông tin về doanh nghiệp và thông tin về hàng hoá bằng cách nhập lại toàn bộ các thông tin trên tờ khai vào hệ thống dữ liệu của cơ quan Hải quan thì với HQĐT cơ quan Hải quan đã có sẵn các dữ liệu theo khai báo của doanh nghiệp và hệ thống sẽ tự động kiểm tra và báo cáo kết quả. Khối lƣợng công việc giảm, hiệu quả công việc nhanh, đáp ứng đƣợc kịp thời yêu cầu về thời 23 gian cho doanh nghiệp, đồng thời tiết kiệm đƣợc nhân lực, tiết kiệm đƣợc chi phí cho quốc gia. 2.3.2. Những tồn tại 2.3.2.1. Vấn đề mô hình triển khai Thủ tục HQĐT đƣợc triển khai theo mô hình thành lập mới Chi cục HQĐT và thực hiện thủ tục với tất cả các doanh nghiệp. Mô hình trên phù hợp với giai đoạn triển khai thí điểm cần có sự đồng bộ, nhất quán. Tuy nhiên khi muốn triển khai mở rộng cho các đơn vị khác mô hình trên gặp các vấn đề nhƣ sau: - Việc thành lập 01 Chi cục HQĐT cho mỗi Cục hải quan là không phù hợp trong điều kiện hiện tại khi chúng ta đang thực hiện các biện pháp cải cách giảm đầu mối vì nó làm phình bộ máy hành chính; - Khi đã có Chi cục Hải quan điện tử, các Chi cục khác sẽ đứng ngoài không có động cơ tích cực tham gia quá trình điện tử hóa; - Chi cục HQĐT không gắn liền với khu kiểm tra hàng hóa (cảng biển, cửa khẩu, ....) dẫn đến việc doanh nghiệp phải đi lại nhiều lần trong trƣờng hợp hàng hóa phân vào luồng vàng hoặc luồng đỏ. 2.3.2.2. Tính tự động của hệ thống còn thấp, chƣa đáp ứng yêu cầu làm thủ tục theo đúng quy định Do chƣa xây dựng đƣợc hệ thống QLRR nên tính tự động của hệ thống còn thấp. Khi tờ khai hải quan đƣợc chuyển đến thì cán bộ hải quan vẫn phải trực tiếp phân luồng. Ngoài ra thì khi lỗi đƣờng truyền, ngƣời khai phải nhập lại tờ khai nhƣng tờ khai đó lại bị chuyển thành tờ khai khác với số hiệu tờ khai khác. Nhiều khi doanh nghiệp cũng phải làm lại theo quá trình thủ công. 2.3.2.3.Việc chuẩn hoá chính sách mặt hàng, danh mục các biểu thuế và bộ tiêu chí QLRR chƣa hoàn chỉnh Do các Bộ ngành chƣa chuẩn hoá danh sách các mặt hàng nên rất khó khăn trong việc đƣa vào hệ thống và chƣa có một qui định hay cơ chế trao đổi dữ liệu giữa các cơ quan trong việc cung cấp, cập nhật hay chuẩn hoá chính sách mặt hàng, nếu có thì việc thực hiện trên thực tế còn nhiều hạn chế. Tình hình này xảy ra tƣơng tự nhƣ đối với danh 24 mục các biểu thuế, hiện tại có gần 10 danh mục biểu thuế cần đƣợc đƣa vào hệ thống. Bên cạnh đó, hiện tại cũng chƣa có bộ tiêu chí rủi ro cấp Tổng cục và cấp cục nên cũng khó khăn trong việc phân luồng kiểm tra hàng hoá. 2.3.2.4. Thiếu sự phối hợp đồng bộ giữa các khâu, các bộ phận khác có liên quan. Trong nội bộ ngành Hải quan, việc phối kết hợp trong việc xử lý một lô hàng giữa Chi cục HQĐT và các Chi cục Hải quan cửa khẩu không đƣợc thiết chế chặt chẽ dẫn đến việc đùn đẩy, thoái thác trách nhiệm trong công tác kiểm tra, giám sát hàng hóa. Ngoài ra, Do các khâu khác liên quan đến thủ tục hải quan nhƣ vận tải, giao nhận kiểm tra về chất lƣợng hàng hoá, vệ sinh an toàn thực phẩm, giám định... (đối với một số lô hàng cụ thể) còn làm thủ tục bằng phƣơng pháp thủ công. Do đó, dù có khai báo bằng HQĐT thì các doanh nghiệp vẫn phải hoàn thiện các khâu còn lại bằng phƣơng pháp thủ công. Việc này đã làm giảm bớt các tiện ích của khai báo HQĐT, đồng thời khiến cho các doanh nghiệp không mấy mặn mà với quy trình thủ tục hải quan mới này. 2.3.2.5. Trang thiết bị tại các đơn vị hải quan chƣa đồng bộ Thiết bị máy tính của HQĐT đƣợc trang bị rất hiện đại nhƣng chƣa đồng bộ, nhất là ở những kho bãi nhỏ, cửa khẩu xa. Thời gian khai báo, truyền nhận thông tin tờ khai chƣa nhanh, khi khai báo, doanh nghiệp phải làm đi làm lại nhiều lần. Nhiều khi doanh nghiệp đến kho bãi nhận hàng thì thông tin chƣa đƣợc truyền đến nơi, buộc doanh nghiệp phải chờ. Thêm vào đó, còn nhiều kho bãi chứa hàng chƣa đƣợc kết nối với hệ thống khai HQĐT, nên có nhiều trƣờng hợp, tờ khai đƣợc hải quan chấp nhận thông quan nhƣng khi ra đến cửa khẩu nhận hàng, hải quan cửa khẩu không có thông tin làm căn cứ thông quan. Do đó, cán bộ hải quan lại phải về trụ sở chi cục để cập nhất vào hệ thống, vì vậy, gây ra tình trạng chậm trễ trong việc xử lý thông quan cho hàng hoá so với xử lý thủ công hiện hành. 2.3.2.6. Những hạn chế về phần mềm Công ty FPT là công ty chịu trách nhiệm về xây dựng phần mềm TQĐT. Mặc dù công ty có khá nhiều thuận lợi do đã có quá trình hợp tác và thực hiện nhiều dự án công nghệ thông tin với hải quan, nhƣng do đây là một vấn đề khá mới mẻ, phải áp dụng nhiều 25 công nghệ mới và phải xây dựng phần mềm trong bối cảnh qui định nghiệp vụ chƣa xây dựng xong, nên khó tránh khỏi những sai sót. Điều này dẫn đến một số khó khăn trong xử lý thông quan nhƣ: các doanh nghiệp còn gặp khó khăn khi khai báo các hàng khuyến mại, hàng đền bù, giảm giá; chƣơng trình thanh toán trực tiếp qua hệ thống có hiển thị nhƣng chƣa hoạt động. Các phần mềm quản lý hiện tại chƣa đƣợc tích hợp vào phần mềm TQĐT chung để tạo thuận lợi cho công chức tác nghiệp và tăng cƣờng khả năng tự động của hệ thống. Phần mềm dành cho phía doanh nghiệp chƣa ổn định, chất lƣợng dịch vụ hỗ trợ chƣa tốt. Thêm vào đó, phần mềm cho doanh nghiệp mới chỉ dừng ở chức năng khai báo, trao đổi thông tin và quản lý thông tin khai HQĐT mà chƣa có thêm các yêu cầu quản lý đặc thù cho từng doanh nghiệp. 2.3.2.7. Về vấn đề nghiệp vụ Qua hơn một năm thực hiện, qui trình TQĐT đã bộc lộ một số hạn chế, vƣớng mắc cần tháo gỡ, bổ sung: - Một là, qui định về nhiệm vụ giám sát, kiểm tra thực tế hàng hoá; xác nhận “đã TQĐT” / “tạm giải phóng hàng” / “thực xuất” không thống nhất với qui trình thủ công hiện tại căn cứ trên Luật sửa đổi, bổ sung một số điều của Luật Hải quan. - Hai là, chƣa có hƣớng dẫn chi tiết về kiểm tra sau thông quan trong thủ tục HQĐT. - Ba là, chƣa có hƣớng dẫn về các vấn đề nghiệp vụ khác phát sinh trong thủ tục HQĐT nhƣ việc cấp giấy chứng nhận nguồn gốc với hàng hoá xuất nhập khẩu là phƣơng tiện vận tải. Hiện nay, việc cấp giấy chứng nhận này đang do Cục Hải quan cấp. Theo đó, chi cục HQĐT phải trình bộ hồ sơ cho cấp Cục, trong khi thủ tục HQĐT không có hồ sơ giấy. Đây là một trong những bất cập cần giải quyết. - Bốn là, Khi triển khai mở rộng về địa bàn và loại hình ra các loại hình đặc thù nhƣ gia công, NSXXK, quản lý khu công nghiệp, khu chế xuất... cơ cấu tổ chức cũng nhƣ vai trò hiện tại của Chi cục điện tử chƣa đáp ứng đƣợc yêu cầu quản lý mà những loại hình đặc thù trên đề ra. Cụ thể là: + Doanh nghiệp hoạt động trong khu chế xuất, khu công nghiệp, doanh nghiệp chuyển phát nhanh... thƣờng ở những khu vực xa Chi cục HQĐT, theo mô hình hiện tại, nếu lô hàng thuộc luồng Vàng, doanh nghiệp phải đến Chi cục điện tử để kiểm tra hồ sơ. 26 Việc này khiến thời gian làm thủ tục của doanh nghiệp kéo dài. Mặt khác, Chi cục Hải quan quản lý khu chế xuất, khu công nghiệp... nắm tình hình doanh nghiệp tốt hơn Chi cục HQĐT nên việc quản lý doanh nghiệp sẽ thuận tiện và chặt chẽ hơn. + Việc mở rộng ra các loại hình quản lý theo chế độ riêng nhƣ gia công, NSXXK đòi hỏi Chi cục điện tử phải bổ sung thêm các cơ cấu tổ chức nhằm đáp ứng các nghiệp vụ đặc thù nhƣ: quản lý hợp đồng gia công, thanh khoản hợp đồng gia công, thanh khoản tờ khai NSXXK... - Ngoài ra, công tác QLRR đối với thủ tục HQĐT vẫn chƣa đƣợc hƣớng dẫn cụ thể. 2.3.2.8. Vấn đề nhân sự Đối với ngành hải quan, một trong những vấn đề đau đầu hiện nay là vấn đề nhân sự. Các cán bộ nhân viên công chức HQĐT hiện nay chủ yếu từ các bộ phận khác chuyển sang. Phần lớn trong số họ đều không thông thạo về lĩnh vực công nghệ thông tin. Do vậy, việc tiếp thu công nghệ cũng nhƣ xử lý tình huống vẫn còn gặp rất nhiều khó khăn. Chính vì vậy, vấn đề nan giải ở đây là việc thiếu trầm trọng đội ngũ cán bộ nhân viên công chức hải quan thực sự có trình độ tin học cao, am hiểu công nghệ thông tin, thành thạo trong xử lý phần mềm cũng nhƣ những quy trình thực hiện TQĐT. 3. Đánh giá chung Ứng dụng CNTT đang trở thành yếu tố không thể thiếu trong chiến lƣợc phát triển của các tổ chức chính phủ và các danh nghiệp. Cùng với quá trình đổi mới tổ chức, đổi mới cơ chế chính sách và phƣơng thức quản lý, quy trình điều hành, việc ứng dụng CNTT trong hoạt động của cơ quan nhà nƣớc giúp các cơ quan chính phủ hoạt động hiệu quả hơn, minh bạch hơn, phục vụ công dân và doanh nghiệp tốt hơn. Việc chuyển đổi định hƣớng ứng dụng CNTT theo hƣớng cung cấp dịch vụ công trực tuyến cho ngƣời dân, doanh nghiệp, hƣớng tới Chính phủ điện tử là mục tiêu cấp thiết của các cơ quan Chính phủ trong giai đoạn tới. Theo định hƣớng này, HQĐT ra đời đã giúp giảm một phần áp lực cho các chi cục hải quan cửa khẩu. Toàn bộ công việc đƣợc xử lý thông quan hệ thống mạng máy tính giúp cho việc quản lý đƣợc hiệu quả, khoa học; hạn chế sự tiếp xúc giữa doanh nghiệp và cơ quan hải quan, hạn chế tình trạng phiền hà, nhũng nhiễu và hạn chế tiêu cực xảy ra. Có thể thấy thủ tục HQĐT là hình thức thủ tục tiên tiến so với thủ tục hải quan thủ công. 27 Hiệu của đạt đƣợc của thủ tục HQĐT là rất đáng kể. Cơ quan hải quan cũng nhƣ các doanh nghiệp đều hƣởng đƣợc những lợi ích to lớn khi thực hiện thủ tục hải quan điên tử. Tuy nhiên ở Việt Nam, việc triển khai HQĐT mới dừng ở mức thí điểm ở một vài chi cục hải quan. Việc mở rộng HQĐT một cách toàn diện và triệt để trên phạm vi toàn quốc còn đang gặp phải rất nhiều khó khăn. Đó là hệ thống chính sách, thủ tục hành chính phức tạp, hệ thống CNTT chƣa hiện đại, vấn đề an toàn chƣa đƣợc đảm bảo… Nhiệm vụ đặt ra là cần hiện đại hóa ngành hải quan về cả lực lƣợng, trang thiết bị, cơ sở vật chất, áp dụng các kỹ thuật tiên tiến vào giải quyết công việc, dặc biệt là phải nâng cao tính an toàn và bảo mật cho các dữ liệu đƣợc trao đổi giữa các cơ quan hải quan và doanh nghiệp. Khi thực hiện đƣợc nhiệm vụ này thì vấn đề an toàn trong thƣơng mại quốc tế, chống gian lận, buôn lậu cũng sẽ đƣợc giải quyết triệt để, các cơ quan hải quan giảm thiểu đƣợc công việc, khối lƣợng hàng thông quan đƣợc tăng cƣờng, giao thƣơng giữa Việt Nam và các quốc gia khác trong và ngoài khu vực càng đƣợc đẩy mạnh… Có thể thấy thực hiện HQĐT trong hoàn cảnh đất nƣớc hiện nay chính là giải pháp cấp bách nhằm ngăn chặn suy giảm kinh tế, duy trì tăng trƣởng kinh tế, đảm bảo an sinh xã hội. Phát triển thủ tục HQĐT chính là một yêu cầu cần thiết, có tính khách quan và chủ quan trong thời kỳ kinh tế Việt nam hội nhập với thế giới, vì vậy trong thời gian tới HQĐT cần phải đƣợc triển khai mạnh mẽ và quyết liệt với mục tiêu: Toàn diện, hiệu quả và an toàn. 28 Chƣơng 2. LÝ THUYẾT VỀ AN TOÀN THÔNG TIN 1. Định nghĩa an toàn thông tin An toàn thông tin có nghĩa là thông tin đƣợc bảo vệ, các hệ thống có thể chống lại đƣợc những tai họa, những tác động không mong đợi để làm giảm thiểu những tác động xấu tới độ an toàn của hệ thống. Một hệ thống không an toàn là hệ thống mà trong đó các dữ liệu có thể bị đánh cắp, bị thay thế, bị sửa đổi làm sai lệch nội dung. Thông tin chỉ có giá trị khi đƣợc đảm bảo tính chính xác, kịp thời. Hệ thống chỉ có thể cung cấp các thông tin có giá trị khi các chức năng của hệ thống hoạt động một cách đúng đắn. Mục tiêu của an toàn bảo mật trong công nghệ thông tin là xây dựng đƣợc một bộ tiêu chuẩn về an toàn, ứng dụng các tiêu chuẩn này vào các hệ thống nhằm loại trừ hoặc giảm thiểu tới mức tối đa các tác động nguy hiểm. Ngày nay do các kỹ thuật truyền tải thông tin ngày càng hiện đại nên độ an toàn của hệ thống chỉ đạt đến mức nào đó. Việc quản lý an toàn và rủi ro của thông tin phải gắn chặt với quản lý chất lƣợng. Khi đánh giá độ an toàn của thông tìn cần phải dựa trên việc phân tích các rủi ro, tăng sự an toàn của hệ thống bằng việc loại trừ các rủi ro. Các đánh giá cần hài hòa với đặc tính cấu trúc của toàn bộ hệ thống và quá trình kiểm tra chất lƣợng. Các yêu cầu an toàn bảo mật thông tin Hiện nay các biện pháp tấn công ngày càng da dạng và tinh vi, đe dọa nghiêm trọng tới sự an toàn của thông tin. Chúng ta cần đƣa ra các chính sách và phƣơng pháp đề phòng cần thiết nhằm đạt đƣợc mục đích bảo vệ an toàn cho thông tin theo các tiêu chí sau: • Đảm bảo tính tin cậy: Thông tin không thể bị truy nhập trái phép bởi những ngƣời không có thẩm quyền. • Đảm bảo tính nguyên vẹn: Thông tin không thể bị sửa đổi, bị làm giả bởi những ngƣời không có thẩm quyền. • Đảm bảo tính sẵn sàng: Thông tin luôn sẵn sàng để đáp ứng sử dụng cho ngƣời có thẩm quyền. • Đảm bảo tính không thể từ chối: Thông tin đƣợc cam kết về mặt pháp luật của ngƣời cung cấp. 29 2. Chữ ký số 2.1. Khái niệm Chƣ̃ ký số là thuật ngữ chỉ mọi phƣơng thức khác nhau để một cá nhân, đơn vị có thể "ký tên" vào một dữ liệu điện tử, thể hiện sự chấp thuận và xác nhận tính nguyên bản của nội dung dữ liệu đó. Khái niệm chữ ký điện tử là rộng hơn khái niệm chữ ký số. Nó bao gồm tất cả các phƣơng pháp để xác định ngƣời chủ của văn bản điện tử. Đó có thể là tên hoặc hình ảnh cá nhân kèm theo tài liệu hay có thể là các dữ liệu sinh trắc học nhƣ dấu vân tay, hình ảnh mống mắt…có khả năng xác thực ngƣời gửi. Trong giao dịch điện tử hiện nay trên thế giới, chữ ký số là hình thức chữ ký điện tử thông dụng nhất. Chữ ký số gồm một cặp khóa bí mật và công khai. Khóa bí mật đƣợc ngƣời gửi dùng để ký hay mã hóa, còn khóa công khai đƣợc ngƣời nhận dùng để giải mã và xác thực thông tin ngƣời gửi. Khái niệm chữ ký số, hay các phƣơng thức xác thực nói chung, đƣợc thực hiện trong các giao dịch điện tử đƣợc gọi là chứng thực số (Digital Certificate). Chứng thực số bao gồm cả hình thức xác thực của cá nhân, tổ chức, xác thực các website, dịch vụ thƣơng mại điện tử cũng nhƣ là xác thực tính nguyên bản của các phần mềm. 2.2. Các ƣu điểm của chữ ký số Khả năng xác định nguồn gốc: Các hệ thống mã hóa khóa công khai cho phép mã hóa văn bản với khóa bí mật mà chỉ có ngƣời chủ khóa mới biết. Để sử dụng chữ ký số thì dữ liệu cần đƣợc mã hóa hàm băm (thƣờng có độ dài cố dịnh và ngắn hơn dữ liệu gốc) sau đó dùng khóa bí mật để mã hóa. Khi đó ta đƣợc chữ ký số. Để kiểm tra, ngƣời nhận dùng khóa công khai để giải mã, lấy lại hàm băm và so sánh với hàm băm của văn bản nhận đƣợc. Nếu hai giá trị này khớp nhau thì bên nhận có thể tin tƣởng rằng dữ liệu này là chính xác. Tất nhiên là không thể đảm bảo 100% các dữ liệu không bị giả mạo vì hệ thống vẫn có thể bị phá vỡ. Vấn đề trên đặc biệt quan trọng đối với các giao dịch tài chính. Chẳng hạn một chi nhánh ngân hàng gửi một gói tin về trung tâm dƣới dạng (a,b), trong đó a là số tài khoản và b là số tiền chuyển vào tài khoản đó. Một kẻ lừa đảo có thể gửi một số tiền nào đó để 30 lấy nội dung gói tin và truyền lại gói tin thu đƣợc nhiều lần để thu lợi (tấn công truyền lại gói tin). Tính toàn vẹn: Cả hai bên tham gia vào quá trình trao đổi thông tin đều có thể tin tƣởng là dữ liệu sẽ không bị thay đổi khi truyền vì nếu dữ liệu thay đổi thì hàm băm cũng sẽ thay đổi và nhờ đó có thể phát hiện đƣợc. Quá trình mã hóa sẽ ẩn nội dung của dữ liệu với bên thứ 3 nhƣng không thể ngăn cản đƣợc việc thay đổi nội dung của nó. Tiếp tục ví dụ nhƣ ở trên, một kẻ lừa đảo gửi 1.000.000 đồng vào tài khoản của a, chặn gói tin (a,b) mà chi nhánh gửi về trung tâm rồi gửi gói tin (a,b3) thay thế để lập tức trở thành triệu phú. Nhƣng đó là vấn đề bảo mật của chi nhánh đối với trung tâm ngân hàng không hẳn liên quan đến tính toàn vẹn của thông tin gửi từ ngƣời gửi tới chi nhánh, bởi thông tin đã đƣợc băm và mã hóa để gửi đến đúng đích của nó tức chi nhánh, vấn đề còn lại vấn đề bảo mật của chi nhánh tới trung tâm của nó Tính không thể phủ nhận: Trong giao dịch, một bên có thể phủ nhận một dữ liệu nào đó là do mình gửi. Bên nhận có thể yêu cầu bên gửi phải gửi kèm chữ ký số với dữ liệu. Chữ ký đó đƣợc dùng nhƣ một chứng cứ để bên thứ 3 có thể đứng ra giải quyết khi có tranh chấp. Tuy nhiên khóa bí mật vẫn có thể bị lộ và tính không thể phủ nhận cũng không thể đạt đƣợc hoàn toàn. 2.3.Thực hiện chữ ký số khóa công khai Chữ ký số khóa công khai dựa trên nền tảng mã hóa khóa công khai. Mỗi ngƣời dùng đều có một cặp khóa công khai và bí mật. Khóa công khai đƣợc công bố rộng rãi còn khóa bí mật đƣợc lƣu giữ an toàn và không thể tìm đƣợc khóa bí mật nếu chỉ biết khóa công khai. Toàn bộ quá trình gồm 3 thuật toán: - Thuật toán tạo khóa - Thuật toán tạo chữ ký số - Thuật toán kiểm tra chữ ký số Xét ví dụ sau: B muốn gửi cho K một thông tin và K muốn biết thông tin đó có thực sự do B gửi hay không. Khi đó B gửi cho K một bản tin kèm chữ ký số. Chữ ký này đƣợc tạo ra với khóa bí mật của B. Khi nhận tin, K sẽ sử dụng khóa công khai của B để kiểm tra tính thống nhất giữa bản tin và chữ ký. Bản chất của thuật toán rạo chữ ký đảm bảo nếu cho trƣớc bản tin. Rất khó (gần nhƣ không thể) tạo ra chữ ký của B nếu không biết 31 khóa bí mật của B. Nếu phép thử cho kết quả đúng thì K hoàn toàn có thể tin tƣởng rằng thông tin đó là do B gửi. Thông thƣờng B không mã hóa toàn bộ bản tin mà chỉ thực hiện với giá trị băm của bản tin đó. Điều này khiến việc ký trở nên đơn giản hơn và chữ ký ngắn hơn. Tuy nhiên có một vấn đề nảy sinh tuy với xác suất rất thấp là hai bản tin khác nhau có thể cho ra cùng một giá trị băm. 2.4. Một vài thuật toán chữ ký số 2.4.1. RSA Mô tả sơ lược RSA là thuật toán đƣợc mô tả lần đầu tiên vào năm 1977 tại Học viện Công nghệ Massachusetts bởi 3 tác giả là Ron Rivest, Adi Shamir và Len Adleman. Tên thuật toán đƣợc lấy từ 3 chữ cái đầu tiên của tên tác giả. Thuật toán RSA có hai khóa: Khóa công khai và khóa bí mật. Mỗi khóa là những số cố định sử dụng trong quá trình mã hóa và giải mã. Khóa công khai dùng để mã hóa và đƣợc công bố rộng rãi. Thông tin đƣợc mã hóa bằng khóa công khai đƣợc giải mã bằng khóa bí mật tƣơng ứng. Nhƣ vậy mọi ngƣời đều có thể mã hóa nhƣng chỉ ngƣời chủ khóa bí mật tƣơng ứng mới có thể giải mã. Tạo khóa Giả sử B và K cần trao đổi thông tin bí mật thông qua một kênh không an toàn (ví dụ như Internet). Với thuật toán RSA,B cần tạo ra cho mình cặp khóa gồm khóa công khai và khóa bí mật theo các bước sau: 1. Chọn 2 số nguyên tố lớn p và q với p ≠ q, lựa chọn ngẫu nhiên và độc lập. 2. Tính: n=pq 3. Tính: giá trị hàm số Ơle: )1)(1()(  qpn 4. Chọn một số tự nhiên e sao cho )(1 ne  và là số nguyên tố cùng nhau với )(n Tính: d sao cho ))((mod 1 nde  . Một số lƣu ý: 32 - Các số nguyên tố thƣờng đƣợc chọn bằng phƣơng pháp thử xác suất. - Các bƣớc 4 và 5 có thể đƣợc thực hiện bằng giải thuật Euclid mở rộng. Khóa công khai bao gồm: - n, môđun - e, số mũ công khai (cũng gọi là số mũ mã hóa). Khóa bí mật bao gồm: - n, môđun, xuất hiện cả trong khóa công khai và khóa bí mật, - d, số mũ bí mật (cũng gọi là số mũ giải mã). Một dạng khác của khóa bí mật bao gồm: - p and q, hai số nguyên tố chọn ban đầu, - d mod (p-1) và d mod (q-1) (thƣờng đƣợc gọi là dmp1 và dmq1), - (1/q) mod p (thƣờng đƣợc gọi là iqmp) Dạng này cho phép thực hiện giải mã và ký nhanh hơn với việc sử dụng định lý số dƣ Trung Quốc (tiếng Anh: Chinese Remainder Theorem - CRT). Ở dạng này, tất cả thành phần của khóa bí mật phải đƣợc giữ bí mật. K gửi khóa công khai cho B, và giữ cẩn thận khóa bí mật của mình. Ở đây, p và q giữ vai trò rất quan trọng. Chúng là các phân tố của n và cho phép tính d khi biết e. Nếu không sử dụng dạng sau của khóa bí mật (dạng CRT) thì p và q sẽ đƣợc xóa ngay sau khi thực hiện xong quá trình tạo khóa. Mã hóa Giả sử B muốn gửi đoạn thông tin M cho K. Đầu tiên B chuyển M thành một số m < n theo một hàm có thể đảo ngƣợc (từ m có thể xác định lại M) đƣợc thỏa thuận trƣớc. Lúc này B có m và biết n cũng nhƣ e do K gửi. B sẽ tính c là bản mã hóa của m theo công thức: n mod emc  Hàm trên có thể tính dễ dàng sử dụng phƣơng pháp tính hàm mũ (theo môđun) bằng (thuật toán bình phƣơng và nhân) Cuối cùng B gửi c cho K. 33 Giải mã K nhận c từ B và biết khóa bí mật d. K có thể tìm được m từ c theo công thức sau: ncm d mod Biết m, K tìm lại M theo phương pháp đã thỏa thuận trước. Quá trình giải mã hoạt động vì ta có. )(mod)( nmmc edded  Do ed ≡ 1 (mod p-1) và ed ≡ 1 (mod q-1), (theo Định lý Fermat nhỏ) nên: )(mod pmmed  và: )(mod qmmed  Do p và q là hai số nguyên tố cùng nhau, áp dụng định lý số dư Trung Quốc, ta có: )(mod pqmmed  . hay: )(mod nmcd  Tạo chữ ký số cho văn bản Thuật toán RSA đƣợc dùng để tạo chữ ký số cho văn bản. Giả sử K muốn gửi cho B một văn bản có chữ ký của mình, K sẽ tạo ra một giá trị băm của văn bản cần ký, tính giá trị mũ d mod n. Giá trị cuối cùng là chữ ký điện tử của văn bản đang xét. Khi B nhận văn bản cùng chữ ký điện tử thì anh ta có thể tính giá trị mũ e mod n của chữ ký đồng thời tính giá trị băm của văn bản. Nếu 2 giá trị này nhƣ nhau thì tức là văn bản không bị thay đổi và đúng là do K gửi 2.4.2. Giải thuật ký số (DSA – Digital Signature Algorithm) Giải thuật ký số là chuẩn của chính phủ Mỹ hoặc FIPS cho các chữ ký số. Giải thuật này đƣợc đề nghị bởi Viện các tiêu chuẩn và công nghệ quốc gia (NIST) vào tháng 8/1991 để sử dụng trong chuẩn chữ ký số (DSS), đƣợc chỉ ra trong FIPS 1861, đƣợc chấp nhận năm 1993. Một sửa đổi nhỏ đƣợc đƣa ra năm 1996 trong FIPS 186-12, chuẩn đƣợc mở rộng hơn năm 2000, đƣợc xem nhƣ FIPS 186-2 3 1 Ấn bản đầu tiên của đặc tả kỹ thuật DSA chính thức 2 Sửa đổi đầu tiên đối với bản đặc tả kỹ thuật DSA 3 Thay đổi lần 2 đối với bản đặc tả kỹ thuật (bao gồm từ thông báo thay đổi đầu tiên cho đến sự thay đổi này). 34 Tạo khoá Chọn số nguyên tố 160 bit q. Chọn 1 số nguyên tố L bit p, sao cho p=qz+1 với số nguyên z nào đó, 512 ≤ L ≤ 1024, L chia hết cho 64. Chú ý: Trong FIPS-186-2, giả sử L luôn bằng 1024. Chọn h, với 1 1. (z = (p-1) / q) Chọn x ngẫu nhiên, thoả mãn 0 < x < q. Tính giá trị y = gx mod p. Khoá công là (p, q, g, y). Khoá riêng là x. Chú ý (p, q, g) có thể dùng chung bởi nhiều ngƣời dùng trong hệ thống, nếu muốn. FIPS 186-2 sử dụng SHA-224/256/384/512 nhƣ hàm băm, q với kích thƣớc 224, 256, 384, và 512 bit, L nhận giá trị 2048, 3072, 7680, và 15360 tƣơng ứng. Có các giải thuật hiệu quả để tính toán các biểu thức mũ và lấy phần dƣ khi chia cho số nguyên tố lớn hz mod p và g x mod p. Hầu hết các số h đều thoả mãn yêu cầu, vì vậy giá trị 2 thông thƣờng đƣợc sử dụng. Ký Tạo 1 số ngẫu nhiên với mỗi thông điệp, giá trị k thỏa mãn 0 < k < q Tính r = (g k mod p) mod q Tính s = (k -1 (SHA-1(m) + x*r)) mod q, ở đây SHA-1(m) là hàm băm mã hoá SHA-1 áp dụng cho thông điệp m Tính toán lại chữ ký trong trường hợp không chắc chắn khi r=0 hoặc s=0 Chữ ký là (r,s) Giải thuật Euclid mở rộng có thể được sử dụng để tính toán biểu thức k-1 mod q. Xác nhận Loại bỏ chữ ký nếu hoặc 0< r <q hoặc 0< s <q không thỏa mãn. Tính w = (s) -1 mod q 35 Tính u1 = (SHA-1(m)*w) mod q Tính u2 = (r*w) mod q Tính v = ((g u1 *y u2 ) mod p) mod q Chữ ký là có hiệu lực nếu v = r Lƣợc đồ ký số là đúng đắn có ý nghĩa khi ngƣời xác nhận luôn chấp nhận các chữ ký thật. Điều này có thể đƣợc chỉ ra nhƣ sau: Từ g = hz mod p suy ra gq ≡ hqz ≡ hp-1 ≡ 1 (mod p) bởi định lý Fermat nhỏ. Bởi vì g>1 và q là số nguyên tố suy ra g có bậc q. Ngƣời ký tính: Nhƣ vậy: Bởi vì g có bậc q chúng ta có: Cuối cùng, tính đúng đắn của DSA suy ra từ: 2.4.3. SHA SHA (Secure Hash Algorithm) là năm thuật giải đƣợc chấp nhận bởi FPS (Federal Information Processing Standards) dùng để chuyển một đoạn dữ liệu nhất định thành một đoạn dữ liệu có chiều dài không đổi với xác suất khác biệt cao. Có năm thuật giải SHA là SHA-1 (trả lại kết quả dài 160 bit), SHA-224 (trả lại kết quả dài 224 bit), SHA-256 (trả lại kết quả dài 256 bit), SHA-384 (trả lại kết quả dài 384 bit), và SHA-512 (trả lại kết quả dài 512 bit). Thuật giải SHA là thuật giải băm mật đƣợc phát triển bởi cục an ninh quốc gia Mĩ (National Security Agency hay NSA) và đƣợc xuất bản thành chuẩn của chính phủ Mĩ bởi viện công nghệ và chuẩn quốc gia Mĩ (National Institute of Standards and Technology hay NIST). Bốn thuật giải sau thƣờng đƣợc gọi chung là SHA-2. 36 SHA-1 đƣợc sử dụng rộng rãi trong nhiều ứng dụng và giao thức an ninh khác nhau, bao gồm TLS và SSL, PGP, SSH, S/MIME, và IPSec. SHA-1 đƣợc coi là thuật giải thay thế MD5, một thuật giải băm 128 bit phổ biến khác. Hiện nay, SHA-1 không còn đƣợc coi là an toàn bởi đầu năm 2005, ba nhà mật mã học ngƣời Trung Quốc đã phát triển thành công một thuật giải dùng để tìm đƣợc hai đoạn dữ liệu nhất định có cùng kết quả băm tạo ra bởi SHA-1. Mặc dù chƣa có ai làm đƣợc điều tƣơng tự với SHA-2, nhƣng vì về thuật giải, SHA-2 không khác biệt mấy so với SHA-1 nên nhiều nhà khoa học đã bắt đầu phát triển một thuật giải khác tốt hơn SHA. NIST cũng đã khởi đầu một cuộc thi phát triển thuật giải băm mới an toàn hơn SHA, giống nhƣ quy trình phát triển chuẩn mã hóa tiên tiến (Advanced Encryption Standard hay AES). SHA-2 bao gồm bốn giải thuật SHA-224, SHA-256, SHA-384 và SHA-512. Ba thuật giải SHA-256, SHA-384 và SHA-512 đƣợc xuất bản lần đầu năm 2001 trong bản phác thảo FIPS PUB 180-2. Năm 2002, FIPS PUB 180-2, bao gồm cả SHA-1 đƣợc chấp nhận thành chuẩn chính thức. Năm 2004, FIPS PUB 180-2 đƣợc bổ sung thêm một biến thể - SHA-224, với mục đích tạo ra một biến thể SHA-2 có độ dài khóa trùng với DES ba lần với 2 khóa (2TDES) - 112 bit. Những biến thể SHA-2 này đƣợc đăng ký Bằng sáng chế Hoa Kỳ số 6.829.355 . Về giải thuật, các biến thể của SHA-2 không khác nhau. Mặc dù chúng sử dụng giá trị biến và hằng số cũng nhƣ độ dài từ, v.v. khác nhau. Mặc dù Gilbert và Handschuh (2003) đã nghiên cứu và không tìm ra điểm yếu của những biến thể này, chúng vẫn chƣa đƣợc kiểm chứng kĩ nhƣ SHA-1. (Theo 3.3.1.3. Ứng dụng của chứng thực số Email có thể đƣợc ký bằng chữ ký điện tử để ngƣời nhận có thể đảm bảo email này không phải là giả mạo. Khi đó ngƣời gửi và ngƣời nhận phải sử dụng cùng một hệ thống chứng thực do một nhà cấp chứng thực số (CA – Certificate Authorities) cung cấp. Trong thực tế, chứng thực số đƣợc sử dụng nhiều nhất trong các giao dịch thƣơng mại điện tử, đặt biệt là trong các hoạt động thanh toán trực tuyến của ngân hàng. Một 37 website dịch vụ ngân hàng có thể khẳng định tính xác thực của mình với ngƣời dùng bằng cách sử dụng chứng thực số, đảm bảo website đó không bị giả mạo. Ngoài việc sử dụng các hình thức bảo mật thông thƣờng nhƣ mật khẩu cần dùng một chứng thực số cá nhân để khẳng định danh tính của mình, xác nhận các hoạt động giao dịch. Chứng thực số sẽ giúp ngân hàng đảm bảo các khách hàng không thể phủ nhận các giao dịch của mình khi họ dùng chứng thực số. Các hoạt động liên ngân hàng trong giao dịch điện tử cũng đều phải sử dụng chứng thực số nhằm xác định danh tính của mỗi bên, khẳng định trách nhiệm và các hoạt động của từng bên trong giao dịch. Đây là quy trình bảo mật quan trọng cũng nhƣ là cơ sở về mặt pháp lý để có căn cứ khi thực hiện các giao dịch trực tuyến. Không chỉ nằm trong lĩnh vực thƣơng mại điện tử, chứng thực số hiện còn đƣợc sử dụng nhƣ một dạng chứng minh thƣ cá nhân. Tại các nƣớc công nghệ phát triển, chứng thực số CA đƣợc tích hợp vào các chip nhớ nằm trong thẻ căn cƣớc, thẻ tín dụng để tăng cƣờng khả năng bảo mật, chống giả mạo, cho phép chủ thẻ xác thực danh tính của mình trên nhiều hệ thống khác nhau, chẳng hạn nhƣ xe bus, thẻ rút tiền ATM, kiểm soát hải quan, ra vào chung cƣ .v.v. 3.3.1.4. Giá trị pháp lý Trong các hoạt động thƣơng mại điện tử trên thế giới, chứng thực số đƣợc sử dụng làm căn cứ xác định tính hợp pháp, giống nhƣ các hình thức xác thực truyền thống là chữ ký và con dấu hiện nay. Khi có tranh chấp về pháp lý trong các hoạt động điện tử, chứng thực số có giá trị bằng chứng và căn cứ tƣơng tự nhƣ các hình thức xác thực cũ này. Với đặc điểm không thể giả mạo, chứng thực nguồn gốc xuất xứ, các quốc gia trên thế giới đều đã sử dụng chứng thực số và coi nó nhƣ là một bằng chứng pháp lý từ rất sớm. Đây là yếu tố quan trọng nhằm phát triển các ngành thƣơng mại điện tử vì nó đảm bảo rằng khách hàng khi tham gia giao dịch là an toàn và đƣợc pháp luật công nhận. Hiện tại, Việt Nam cũng đang gấp rút xây dựng Pháp lệnh Thƣơng mại điện tử (do Bộ Thƣơng mại chủ trì), Nghị định của Chính phủ về quản lý, cung cấp và sử dụng dịch vụ chứng thực điện tử (Bộ Bƣu chính - Viễn thông chủ trì), Nghị định của Chính phủ quy định việc nghiên cứu, sản xuất và sử dụng mật mã không thuộc phạm vi bí mật Nhà nƣớc (Ban Cơ yếu Chính phủ chủ trì). Tuy nhiên, quá trình xây dựng còn chƣa theo kịp nhu cầu 38 phát triển và ứng dụng, gây ra nhiều khó khăn trong quá trình triển khai thƣơng mại điện tử. So với các nƣớc và vùng lãnh thổ khác tại châu Á, hiện Việt Nam còn đang khá chậm trễ trong xây dựng dựng cơ sở pháp lý về giao dịch điện tử. Malaysia đã ban hành Luật Chữ ký Số vào năm 1997, Singapore ban hành Luật Giao dịch điện tử vào năm 1998, Hàn Quốc có Luật Chữ ký điện tử vào năm 1999 và sửa đổi vào năm 2001, Hong Kong có Sắc lệnh về Giao dịch điện tử vào năm 2000. Thái Lan và Nhật Bản cũng đã có các văn bản luật liên quan đến giao dịch điện tử vào năm 2001. 3. Hạ tầng khóa công khai (PKI – Public Key Infastructure) Để triển khai đƣợc chữ ký số, việc cần thiết nhất là phải xây dựng đƣợc hệ thống PKI. 3.1.Tổng quan về PKI PKI là một cơ chế để bên thứ 3 có thể cung cấp và xác thực các bên tham gia vào quá trình trao đổi thông tin. Cơ chế này cho phép gán mỗi ngƣời dùng trong hệ thống với một cặp khóa công khai và bí mật. Các quá trình này đƣợc thực hiện bởi một phần phềm đặt tại trung tâm và các phần mềm khác đặt tại các địa điểm của ngƣời dùng. Khóa công khai đƣợc phân phối rộng rãi trong PKI. PKI thƣờng đƣợc dùng để chỉ toàn bộ hệ thống bao gồm nhà cung cấp chứng thực số CA cùng các cơ chế liên quan đồng thời với toàn bộ các thuật toán mã hóa công khai trong trao đổi thông tin. Tuy nhiên phần sau đƣợc bao gồm không hoàn toàn chính xác do các cơ chế trong PKI không nhất thiết phải sử dụng các thuật toán mã hóa công khai. 3. 2. Các thành phần của PKI 3.2.1. Các thành phần của PKI PKI dựa vào một thiết bị mật mã để bảo đảm các khoá công khai đƣợc quản lý an toàn. Các thiết bị này không hoạt động cùng lúc đƣợc thực hiện ở các hàm mảng rộng có liên quan đến việc quản lý phân phối khoá, bao gồm các thành phần sau: - Chứng thực và đăng ký ngƣời dùng - Kiểm tra tính toàn vẹn của khoá công khai - Chứng thực yêu cầu trong quá trình bảo quản các khoá công khai 39 - Bí mật cấp phát khoá công khai - Huỷ bỏ khoá công khai khi nó không có đủ giá trị độ dài - Duy trì việc thu hồi các thông tin về khoá công cộng (CRL) và phân bổ thông tin (thông qua CRL cấp phát hoặc đáp ứng đến Online Certificate Status Protocol [OCSP] messages). - Đảm bảo an toàn về độ lớn của khoá. Chứng thực khóa công khai (Public Key Certificate): Mục tiêu của việc trao đổi khóa bất đối xứng là cấp phát một cách an toàn khóa công khai từ ngƣời gửi đến ngƣời nhận. PKI tạo điều kiện cho việc trao đổi khóa an toàn để đảm bảo xác thực các bên trao đổi với nhau. Chứng thực khóa công khai đƣợc cấp phát bởi CA. Ngƣời dùng đăng ký sử dụng, kích hoạt và đƣợc PKI chứng nhận theo quá trình sau: -Ngƣời dùng đăng ký với CA hoặc RA (Registration Authorities) với các tiêu chí để nhận biết. CA sẽ xác thực và cấp phát khóa công khai. - Ngƣời dùng tạo ra một cặp khóa công khai và bí mật rồi gửi đến CA - CA lƣu mật hiệu lên khóa công khai cùng với khóa bí mật để tạo một chứng thực khóa công khai cho ngƣời dùng. Lúc này ngƣời dùng có thể yêu cầu chứng thực khóa công khai từ các ngƣời dùng khác. Tổ chức đăng ký chứng thực (Registration Authorities): Trong nhiều trƣờng hợp, CA sẽ cung cấp tất cả các dịch vụ cần thiết của PKI để quản lý các khóa công khai bên trong mạng. Tuy nhiên có nhiều trƣờng hợp CA có thể uỷ nhiệm Cho RA. Một số chức năng mà CA có thể uỷ nhiệm thay thế cho RA nhƣ: - Kiểm tra ngƣời dùng đã đăng ký khóa công khai với CA để có khóa bí mật mà đƣợc dùng để kết hợp với khóa công khai. - Cấp phát cặp khóa công khai và bí mật dùng để khởi tạo quá trình đăng ký. - Xác nhận các thông số của khóa công khai. - Cấp phát gián tiếp các Certificate Revocation List (CRL). 40 Tổ chức cấp chứng thực (CA - Certificate Authorities): CA cấp phát chứng thực, xác thực ngƣời dùng và khi cần thì thu hồi các chứng thực CA địa diện cho nguồn tin cậy chính của PKI vì CA là tổ chức duy nhất trong PKI có thể cấp phát chứng thực khóa công khai. CA cũng luôn đáp ứng cho việc duy trì CRL và phục vụ các loại nhƣ: CRL Issuer. PKI không phải chỉ có 1 CA mà PKI có thể thiết lập nhiều CAs. CAs giúp thiết lập cho việc nhận dạng của các thực thể giao tiếp với nhau đƣợc đúng đắn. CAs không chỉ chứng thực cho ngƣời dùng cá nhân mà còn chứng thực cho các CA khác có liên quan trong quá trình giao dịch. 3.2.2. Mục tiêu và các chức năng của PKI PKI cho phép những ngƣời tham gia xác thực lẫn nhau và sử dụng các thông tin từ các chứng thực khoá công khai để mật mã hoá và giải mã thông tin trong quá trình trao đổi. PKI đảm bảo cho các giao dịch điện tử đƣợc bí mật, toàn vẹn và xác thực đƣợc các bên tham gia mà không cần trao đổi các thông tin bảo mật từ trƣớc. Mục tiêu chính của PKI chính là cung cấp khóa công khai và xác định mối liên hệ giữa khóa và ngƣời dùng, nhờ vậy ngƣời dùng có thể áp dụng vào một số ứng dụng nhƣ: - Mã hoá Email hoặc xác thực ngƣời gửi Email - Mã hoá hoặc chứng thực văn bản - Xác thực ngƣời dùng ứng dụng - Các giao thức truyền thông an toàn: Trao đổi bằng khoá bất đối xứng, mã hoá bằng khoá đối xứng. PKI bao gồm các thành phần sau đây: - Phát sinh một cặp khoá riêng và khoá chung cho ngƣời dùng - Tạo và xác nhận chữ ký điện tử - Cấp phát chứng nhận ngƣời dùng - Đánh dấu những khoá đã cấp phát và bảo trì quá trình sử dụng của mỗi khoá 41 - Hủy bỏ những đăng ký sai và hết hạn - Xác nhận ngƣời dùng 3.2.3. Mục đích của PKI PKI đƣợc sử dụng với các mục đích : - Mã hoá: Giữ bí mật thông tin và chỉ có ngƣời có khoá bí mật mới giải mã đƣợc. - Tạo chữ ký số: Cho phép kiểm tra một văn bản có phải đã đƣợc tạo với một khoá bí mật nào đó hay không. - Thoả thuận khoá: Cho phép thiết lập khoá dùng để trao đổi thông tin bảo mật giữa 2 bên. 3.3. Cơ sở hạ tầng của PKI 3.3.1. Các bƣớc mã hoá: Bƣớc 1: Dùng giải thuật băm để thay đổi thông điệp cần truyền đi. Kết quả là ta đƣợc một bản tóm tắt. Dùng giải thuật MD5 (message digest 5) ta đƣợc bản tóm lƣợc có chiều dài 128 bit, dùng giải thuật SHA (Secure Hash Algorithm) ta có chiều dài 160 bit. Bƣớc 2: Sử dụng khóa bí mật của ngƣời gửi để mã hóa bản tóm tắt thu đƣợc ở bƣớc 1. Thông thƣờng ở bƣớc này dùng giải thuật RSA ( hay DSA, RC2, 3DES, …). Kết quả thu đƣợc gọi là chữ ký số của thông điệp ban đầu. Bƣớc 3: Sử dụng khóa công khai của ngƣời nhận để mã hoá những thông tin cần gửi đi. 42 Bƣớc 4: Gộp chữ ký số vào thông điệp đã đƣợc mã hoá và gửi đi. Nhƣ vậy sau khi đã ký số vào thông điệp đã đƣợc mã hoá, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai đoạn kiểm tra. Ngoài ra, việc ký nhận này đảm bảo ngƣời nhận tin tƣởng thông điệp này này xuất phát từ ngƣời gửi chứ không phải là ai khác. 3.3.2. Các bƣớc kiểm tra: Bƣớc 1: Ngƣời nhận dùng khóa bí mật của mình để giải mã thông tin nhận đƣợc gồm 2 phần: Phần thông điệp và phần chữ ký ngƣời gửi. Bƣớc 2: Dùng khóa công khai của ngƣời gửi (khoá này đƣợc thông báo đến mọi ngƣời ) để giải mã chữ ký số của thông điệp ta đƣợc bản tóm tắt. Bƣớc 3: Dùng giải thuật MD5 ( hoặc SHA) với thông điệp đính kèm ta có bản tóm tắt. Bƣớc 4: So sánh kết quả thu đƣợc ở bƣớc 2 và 3 nếu trùng nhau, ta kết luận thông điệp này không bị thay đổi trong quá trình truyền và thông điệp này chính xác là của ngƣời gửi. 43 3.4. Tạo và thẩm định chữ ký số Hình 1: Quá trình đăng ký, cấp và sử dụng chữ ký số Hình 2: Quá trình ký và mã hóa dữ liệu 44 Thẩm định chữ ký số: Hình 3: Thẩm định chữ ký số Xác thực toàn vẹn của thông tin: Hình 4: Xác thực tính toàn vẹn của thông tin 45 Chƣơng 3: AN TOÀN THÔNG TIN TRONG HẢI QUAN ĐIÊṆ TƢ̉ 1. Thực trạng an toàn trong hải quan điện tử ở Việt Nam 1.1. Thực trạng an toàn thông tin ở Việt Nam Tại Ngày An toàn thông tin Việt Nam 2009 tổ chức hôm 24/11 tại Hà Nội, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã công bố kết quả điều tra nghiên cứu thực trạng an toàn thông tin (ATTT) tại Việt Nam từ cuối năm 2008 đến nay với sự tham gia khảo sát của gần 500 tổ chức, DN trên phạm vi cả nƣớc. Thời gian qua, hàng loạt các vấn đề liên quan đến ATTT đã liên tục xảy ra nhƣ Hacker tấn công hệ thống website làm tê liệt mạng thông tin của Chính phủ Mỹ và Chính phủ Hàn Quốc. Hàng loạt ngân hàng lớn trên thế giới bị mất cắp tiền qua mạng hay phát hiện nhiều lỗ hổng lớn trong hệ thống DNS… Từ đó có thể thấy ngoài những cơ hội thì thƣơng mại điện tử cũng mang đến nhiều rủi ro cho nền kinh tế và xã hội hiện đại. Theo kết quả điều tra ở Việt Nam thì 58,89% ý kiến cho rằng, các cuộc tấn công mà tổ chức hay gặp phải chủ yếu vẫn là hệ thống nhiễm phải virus hay worm (có thể tự lây lan), hoặc hệ thống nhiễm phải trojan hay rootkit (không tự lây lan). Tuy nhiên, khả năng nhận biết tấn công thấp và không rõ động cơ tấn công. - 48% Tổ chức thừa nhận không rõ nguồn gốc địa chỉ IP tấn công xuất hiện từ đâu - 73% Tổ chức không định lƣợng đƣợc thiệt hại khi bị tấn công - 53% Tổ chức không có quy trình thao tác chuẩn để phản ứng lại những cuộc tấn công đó. Khi bị tấn công 45,77% thông báo cho lãnh đạo cấp cao của tổ chức, 64,14% thông báo cho trung tâm tin học Các công nghệ đƣợc sử dụng: Tƣờng lửa (60,93%); phần mềm chống vi rút (83,09%); bộ lọc thƣ rác (50,15%). Trong đó 33% thừa nhận đang dùng tƣờng lửa của hãng Cisco, Check Point (13%). 24 % tổ chức đang dùng phần mềm diệt virut của Kasperky, Symantec (21%), BKV (16%), AVG (11%)... Khảo sát cũng cho thấy vấn đề khó khăn nhất trong thực thi bảo vệ an toàn cho hệ thống thông tin đó là việc nâng cao nhận thức cho ngƣời sử dụng về bảo mật máy tính 46 (43,73%), sự thiếu hiểu biết về ATTT trong tổ chức (46,06%), lãnh đạo chƣa hỗ trợ đúng mức cần thiết cho ATTT (33,24%). Thực tế đáng buồn là đa số ngƣời dùng cá nhân hay doanh nghiệp ở Việt Nam chƣa ý thức đƣợc điều đó. Họ đang sống trong những ảo tƣởng mà có thể gây ảnh hƣởng rất nghiêm trọng tới nguồn thông tin vô giá. Số liệu nghiên cứu chuyên nghiệp của hãng CheckPoint cho thấy: Có tới 35% số ngƣời dùng cá nhân đƣợc hỏi tuyên bố bảo mật thông tin không phải là "việc của tôi", trong khi 45% tự nhận mình không phải "mục tiêu đáng giá" cho hacker. 52% đƣa ra một lập luận rất "vô tƣ" cho việc bảo mật hớ hênh là "Tôi chƣa đủ nổi tiếng để bị hacker chú ý" hoặc "Bọn tội phạm mạng làm sao kiếm đƣợc tiền từ thông tin cá nhân của tôi?". (Theo khảo sát của VNISA về thực trạng ATTT ở Việt Nam năm 2008) Trƣớc thực trạng nhƣ thế bộ Thông tin và Truyền thông đã trình lên Thủ tƣớng quy hoạch ATTT với nhiều giải pháp đƣợc cho là thiết thực, khả thi và mang ý nghĩa dài hạn. Tuy nhiên nỗ lực bảo vệ tài nguyên thông tin không thể chỉ xuất phát từ các nhà làm chính sách, mà cần có sự hợp tác phối hợp, gắn kết chặt chẽ giữa 3 khối là Nhà nƣớc, Doanh nghiệp/Tổ chức và các Cá nhân. Đƣơng nhiên HQĐT Việt Nam cũng là một thành phần trong liên khối chặt chẽ đó. 1.2. Thực trạng an toàn trong hải quan điện tử 1.2.1. Quy trình thông quan điện tử Vào các ngày 19/07/2005 và 22/06/2007, Bộ Tài Chính ra quyết định số 50/2005/QĐ-BTC và số 52/2007/QĐ-BTC, ban hành quy định “Quy trình thực hiện thí điểm thủ tục HQĐT đối với hàng hóa xuất khẩu, nhập khẩu”. Về cơ bản qui trình có thể đƣợc mô tả nhƣ sơ đồ 1: Các bƣớc trong qui trình thủ tục HQĐT có thể đƣợc mô tả ngắn gọn nhƣ sau: Bƣớc 1: Tiếp nhận hồ sơ điện tử Doanh nghiệp khai HQĐT và truyền dữ liệu đến Chi cục HQĐT. Hệ thống xử lý dữ liệu điện tử tiếp nhận tờ khai điện tử, kiểm tra điều kiện tham gia hệ thống của doanh nghiệp, kiểm tra tính logic của các tiêu chí khai báo, kiểm tra việc khai và tính thuế,.... Kết thúc quá trình kiểm tra, phản hồi cho doanh nghiệp chi tiết tình trạng hiện tại của hồ 47 sơ (hợp lệ/không hợp lệ/,...). Nếu hồ sơ hợp lệ tờ khai điện tử sẽ đƣợc cấp số tờ khai chính thức và đƣợc chuyển sang khâu phân luồng. Bƣớc 2: Phân luồng hàng hóa Trên cơ sở bộ tiêu trí QLRR và thông tin và hàng hóa XNK do doanh nghiệp khai hải quan, hệ thống tự động phân luồng hàng hóa. Kết quả cho ra 3 luồng: - Luồng xanh - Luồng vàng - Luồng đỏ (Hệ thống chờ cán bộ hải quan phê duyệt phân luồng) Bƣớc 3: Phê duyệt phân luồng - Trên cơ sở kết quả phân luồng của hệ thống cán bộ hải quan có trách nhiệm kiểm tra, điều chỉnh luồng (trong một số trƣờng hợp cần thiết) và phê duyệt kết quả phân luồng (thực hiện trên máy tính). - Thông báo hƣớng dẫn thủ tục HQĐT gồm thông tin phân luồng, số tờ khai, thông báo thuế cho doanh nghiệp. + Đối với hàng hóa thuộc luồng xanh: Miễn kiểm tra; chấp nhận thông quan hàng hóa. Chuyển sang bƣớc 5. + Đối với hàng hóa thuộc luồng vàng: Kiểm tra hồ sơ trƣớc khi thông quan (Kiểm tra giấy phép XNK, kiểm tra việc áp mã, kiểm tra xác định trị giá tính thuế, ...). Chuyển sang bƣớc 4. + Đối với hàng hóa thuộc luồng đỏ: Kiểm tra hồ sơ và thực tế hàng hóa trƣớc khi thông quan. Chuyển sang bƣớc 4 Bƣớc 4: Chấp nhận thông quan Cán bộ kiểm tra hồ sơ căn cứ trên kết quả kiểm tra hồ sơ và/ hoặc kiểm tra thực tế hàng hóa chấp nhận cho thông quan. Bƣớc 5: Xác nhận thực xuất/ thực nhập Cán bộ giám sát căn cứ kết quả chấp nhận thông quan in lệnh thông quan từ hệ thống, ký và đóng dấu xác nhận lên lệnh thông quan. 48 Thñ tôc h¶i quan ®iÖn tö C h i c ô c h ¶ I q u a n ® iÖ n t ö 3.2. KiÓm tra hå s¬3.1. MiÔn kiÓm tra 4. ChÊp nhËn th«ng quan 3.3. KiÓm tra hå s¬ vµ kiÓm tra thùc tÕ hµng ho¸ 3. DuyÖt ph©n luång 2. Ph©n luång B¾t ®Çu 1. TiÕp nhËn, kiÓm tra tù ®éng tê khai ®iÖn tö 5. X¸c nhËn thùc xuÊt/ nhËp KÕt thóc Hình 5: Quy trình trong HQĐT 49 Thông tin khai của người khai Hải quan Công chức Hải quan thực hiệm nhiệm vụ kiểm tra sơ bộ thông tin khai Thông tin khai có cần kiểm tra sơ bộ ? Cấp số và phân luồng cho tờ khai Chấp nhận thông tin khai Phàn hồi lý do về cho người khai Hải quan Đúng Không cần kiểm tra sơ bộ Hình 6: Quá trình kiểm tra sơ bộ của cơ quan hải quan đối với thông tin khai 1.2.2. Hệ thống thông quan điện tử - Các đối tƣợng tham gia hệ thống: Ngƣời khai hải quan: doanh nghiệp XNK, doanh nghiệp khai thuế; Tổ chức truyền nhận dữ liệu điện tử (VAN); Cơ quan Hải quan. - Chuẩn trao đổi dữ liệu điện tử giữa doanh nghiệp và hải quan: XML; - Phƣơng tiện trao đổi: thông qua Internet. 50 Hình 7: Mô hình khái quát hệ thống TQĐT - Từ trụ sở, doanh nghiệp khai tờ khai hải quan và thông tin về hàng hóa XNK qua mạng Internet. Thông tin sẽ đƣợc đóng gói trƣớc khi gửi đến trung tâm xử lý dữ liệu của tổ chức cung cấp dịch vụ truyền nhận dữ liệu HQĐT C-VAN; - Tại trung tâm xử lý dữ liệu của của C-VAN dữ liệu đƣợc kiểm tra hợp chuẩn (chuẩn này do hải quan công bố theo chuẩn WCO-Dataset version 2.0). Nếu đáp ứng dữ liệu sẽ đƣợc gửi đến cơ quan Hải quan; - Tại cơ quan hải quan dữ liệu đƣợc gải mã và đƣa vào xử lý trong hệ thống của hải quan theo qui trình thủ tục nhƣ đã nêu. 51 Quy trình cụ thể nhƣ sau: Hình 8: Trao đổi thông tin giữ doanh nghiệp, Cục và các chi cục hải quan Hình 9: Quy trinh thực hiện đối với luồng xanh 52 Hình 10: Quy trình thực hiện đối với luồng vàng và đỏ 1.2.3. Mô hình phần mềm Mô hình phần mềm của hệ thống thôgn quan điện tử đƣợc phân thành 3 lớp cụ thể: - Lớp bên ngoài: bao gồm các chƣơng trình phần mềm của doanh nghiệp, các hệ thống tiếp nhận của C-VAN; - Lớp ngoài của hải quan: bao gồm các Webservice để tiếp nhận dữ liệu khai, các CSDL tạm lƣu dữ liệu khai của doanh nghiệp, CSDL Log, CSDL phục vụ doanh nghiệp tra cứu thông tin và các queue server để trả lời cho doanh nghiệp; - Lớp trong của hải quan: bao gồm Web Server, các chƣơng trình ứng dụng hải quan, CSDL chính lƣu thông tin khai của doanh nghiệp, các CSDL tác nghiệp. 53 Hình 11: Mô hình phần mềm của hệ thống 1.2.4. Vấn đề an toàn thông tin trong hải quan điện tử Trong thời gian thực hiện thí điểm, Tổng cục Hải quan khuyến khích mọi doanh nghiệp thuộc mọi thành phần kinh tế đăng ký tham gia thủ tục HQĐT nhƣng cần đáp ứng đủ những điều kiện sau: - Minh bạch trong tài chính: có xác nhận của Cơ quan Thuế nội địa trong việc chấp hành tốt kê khai và nộp thuế theo quy định. - Không vi phạm pháp luật hải quan quá 1 lần thuộc thẩm quyền xử phạt vi phạm hành chính của Cục trƣởng Cục Hải quan tỉnh, liên tỉnh, thành phố trực thuộc trung ƣơng trở lên trong thời gian một (01) năm, tính đến ngày đăng ký tham gia làm thủ tục HQĐT. - Có kim ngạch xuất nhập khẩu và/ hoặc có lƣu lƣợng tờ khai đạt mức do Tổng cục trƣởng Tổng cục Hải quan quyết định cụ thể theo từng giai đoạn thực hiện thí điểm thủ tục HQĐT. 54 - Sẵn sàng nối mạng máy tính với Chi cục HQĐT hoặc sử dụng dịch vụ của Đại lý làm thủ tục hải quan để làm thủ tục HQĐT. Các doanh nghiệp đủ điều kiện sẽ đƣợc cấp tài khoản với Username và Password để có thể sử dụng hệ thống TQĐT. Sau khi có tài khoản, doanh nghiệp có hai cách để tiến hành kê khai hải quan: - Truy cập website kê khai hải quan, sử dụng tài khoản đƣợc cấp để đăng nhập và tiến hành kê khai. Sau khi kê khai thì dữ liệu sẽ đƣợc đóng gói và gửi đến cơ quan hải quan. - Sử dụng phần mềm kê khai, sau đó phần mềm sẽ đóng gói thông tin kê khai và gửi đến cơ quan hải quan cũng với tài khoản doanh nghiệp đƣợc cấp Với cả hai cách trên, dữ liệu mà doanh nghiệp gửi đến cơ quan hải quan đƣợc đóng gói theo định dạng XML và có cấu trúc cụ thể nhƣ sau: <Envelope xmlns:xsi=” instance”> 1.00 1CC47F68-B4FE-451D-9B72 8E5632CABDB5 Ten cong ty Ma so XNK Chi cuc hai quan 55 Ma chi cuc 11 5 3DC58030-B6B8-45CB-9463-94C8FB76D44A ECUS_KD</sendApplication > HQ-KTX2007 Trong đó: - Thẻ định nghĩa thông tin về doanh nghiệp gửi dữ liệu gồm tên doanh nghiệp và mã số xuất khẩu - Thẻ định nghĩa thông tin về nơi mở tờ khai gồm tên chi cục và mã chi cục - Thẻ định nghĩa loại dữ liệu gửi đến cơ quan hải quan nhƣ tờ khai, định mức… 56 - Thẻ định nghĩa chức năng của message gửi đến cơ quan Hải quan nhƣ khai hải quan, hủy khai báo… - Thẻ định nghĩa số tham chiếu của chứng từ. Số tham chiếu do chƣơng trình doanh nghiệp gửi lên hệ thống của Hải quan. Số tham chiếu xây dựng theo quy định về GUID (Global Unique Identifier). Giá trị này có thể tạo ra bằng cách sử dụng hàm System.GUID.New() trong Microsoft.Net hoặc hàm NewID() trong Microsoft SQL Server. - Thẻ thuộc thẻ định nghĩa toàn bộ nội dung chi tiết của chứng từ gửi tới cơ quan Hải quan. Có thể thấy ƣu điểm của việc đóng gói này là dữ liệu gửi đến cơ quan hải quan theo cùng một chuẩn đảm bảo tính thống nhất trong toàn hệ thống hải quan. Vì thế cơ quan hải quan có thể làm việc với dữ liệu này một cách dễ dàng. Tuy nhiên quy trình nhƣ thế sẽ phát sinh những nguy hiểm đối với thông tin và dữ liệu của doanh nghiệp và cơ quan Hải quan cụ thể nhƣ sau: + Đối với hình thức kê khai qua web: Khi doanh nghiệp đăng nhập vào hệ thống kê khai HQĐT trên web khi đó một số thông tin khi đăng nhập sẽ đƣợc lƣu vào cookie. Những thông tin này hoàn toàn có thể bị đánh cắp bởi những kẻ có ý đồ không tốt. Với những thông tin có đƣợc thì chúng có thể đăng nhập vào hệ thống HQĐT, đánh cắp dữ liệu và nguy hiểm hơn là tấn công vào toàn bộ hệ thống hải quan, khi đó thiệt hại là không tƣởng. + Đối với cả hai hình thức kê khai bằng phần mềm và kê khai trên web: Doanh nghiệp giao tiếp với cơ quan hải quan thông qua Internet. Khi doanh nghiệp gửi dữ liệu tới cơ quan hải quan, thì dữ liệu đó sẽ đƣợc đi theo những con đƣờng ngẫu nhiên, từ nguồn tới đích. Trên con đƣờng đó thì dữ liệu sẽ phải đi qua một số máy tính trung gian, và chúng ta không thể đảm bảo đƣợc những máy tính trung gian đó là an toàn. Dữ liệu đó hoàn toàn có thể bị đánh cắp hoặc làm sai lệch nội dung khi đó sự toàn vẹn, sự an toàn của dữ liệu đã bị xâm phạm. + Đối với hình thức kê khai bằng phần mềm thì thông thƣờng sau khi kê khai doanh nghiệp sẽ sau lƣu giữ liệu và cất giữ trong máy tính của mình. Doanh nghiệp có thể bị đánh cắp những dữ liệu đó mà không hề hay biết bởi vì có những phần mềm gián điệp tự 57 động đƣợc cài vào máy tính của doanh nghiệp không ngoài ý định đánh cắp thông tin. Khi đó không chỉ với thông tin hải quan mà mọi thông tin khác có trong máy tính của doanh nghiệp đều có thể bị mất. Với cả hai hình thức khai nhƣ trên thì dữ liệu của doanh nghiệp đều không đƣợc đảm bảo bởi vì sự an toàn của dữ liệu chƣa đƣợc quan tâm đúng mức. Dữ liệu mà doanh nghiệp và cơ quan hải quan trao đổi không đƣợc đảm bảo an toàn do hệ thống thông quan xây dựng chƣa đƣợc hoàn thiện. Thành phần chứng thực trong hệ thống HQĐT chƣa đƣợc triển khai vì thế dữ liệu không đƣợc mã hóa và không đảm bảo tính xác thực. Nhìn vào mô hình phần mềm HQĐT trƣớc đây, có thể thấy vấn đề xác thực và đảm bảo an toàn tthông tin đã đƣợc đề cập đến, tuy nhiên module thực hiện chức năng này lại chƣa đƣợc triển khai bởi vì có những khó khăn nhất định: - Môi trƣờng pháp lý chƣa hoàn thiện. Tuy Mới mẻ ở Việt Nam, nhƣng chữ ký số là dịch vụ đƣợc sử dụng rất phổ biến ở các nƣớc có nền thƣơng mại điện tử phát triển. Nhật Bản, Hàn Quốc, Singapore hay Malaysia đều đã ban hành Luật về chữ ký số và chứng thực điện tử từ đầu những năm 2000. Trong khi đó, ở nƣớc ta Luật giao dịch điện tử năm 2006 và nghị định về chữ ký số ra đời năm 2007 đƣợc coi là bƣớc đi đầu tiên, đặt nền tảng về pháp lý cho dịch vụ chữ ký số. Cần thiết phải có những hành lang pháp lý cụ thể và hoàn thiện để chữ ký số có thể đi vào thực tế. Bên cạnh đó sự quản lý giữa các cấp các ngành là chƣa đồng bộ. - Vấn đề về con ngƣời: Hầu hết các doanh nghiệp đều quen với việc giao dịch đƣợc diễn ra ở trên giấy tờ, vì thế việc chuyển đổi sang sử dụng chứng từ điện tử là cả một thay đổi lớn. Bên cạnh đó ngƣời dùng còn mơ hồ về chữ ký điện tử, chƣa biết đƣợc lợi ích và sự cẩn thiết của nó đối với các chứng từ, văn bản điển tử. Vì thế việc triển khai cũng gặp nhiều khó khăn. - Cơ sở hạ tầng hiện đại nhƣng chƣa đồng bộ, vì thế việc áp dụng toàn diện chữ ký số vào thực tế và đặc biệt là ngành hải quan lại càng khó khăn hơn. Mặt khác chúng ta lại chƣa đƣa ra đƣợc lộ trình, con đƣờng thực tế và khả thi để đƣa chữ ký số vào cuộc sống. Giải quyết đƣợc các khó khăn trên thì việc áp dụng chữ ký số vào HQĐT sẽ đơn giản, dễ dàng hơn và đó chính là phƣơng thức hữu hiệu để phòng chống nhiều loại tội phạm nguy hiểm nhƣ ma túy, buôn lậu, vận chuyển vũ khí… đặc biệt là hoàn thành việc hiện đại hóa ngành hải quan, đáp ứng đủ các tiêu chuẩn để có thể liên kết với hải quan 58 trong khu vực và trên toàn thế giới, tạo thành một hệ thống thống nhất và an toàn… Phát triển ngành hải quan chính là chìa khóa quan trọng để phát triển nền kinh tế của đất nƣớc trong giai đoạn hội nhập và phát triển cùng với nền kinh tế thế giới. 3. Giải pháp an toàn trong hải quan điện tử 3.1. Các giải pháp đƣợc áp dụng trong HQĐT ở một số nƣớc phát triển. Với sự lan rộng ngày càng mạnh mẽ của xu thế toàn cầu hóa và tự do hóa thƣơng mại, vai trò của cơ quan hải quan đang ngày càng trở nên quan trọng hơn đối với phát triển kinh tế và an ninh quốc gia. Xác định đƣợc một cách đầy đủ vai trò đó, Hải quan Hàn Quốc đã và đang nỗ lực hết mình để hoàn thành tốt nhiệm vụ của “ngƣời chiến sĩ trên mặt trận kinh tế” nhằm tạo thuận lợi cho thƣơng mại, bảo vệ an ninh cộng đồng và thúc đẩy môi trƣờng đầu tƣ thƣơng mại lành mạnh. Để thực hiện điều này, Hải quan Hàn Quốc đã đã tƣ xây dựng hệ thống HQĐT theo mô hình trao đổi dữ liệu điện tử EDI (Electronic Data Interchange). Đối với hệ thống này thì dữ liệu trao đổi trong hệ thống đƣợc thống nhất theo cùng một chuẩn, đƣợc mã hóa, đƣợc xác thực bằng chữ kỹ diện tử. Bên cạnh đó mọi giao dịch, mọi trao đổi diễn ra trong hệ thống đều đƣợc quản lý, giám sát. Chính vì vậy dữ liệu khi trao đổi đƣợc đảm bảo về tính an toàn, tính toàn vẹn và tính xác thực. Cũng với mô hình EDI thì Hải quan Thái Lan cũng đã xây dựng đƣợc hệ thống HQĐT hiện đại, giảm thời gian tiết kiệm chi phí và giảm khối lƣợng công việc đáng kể đối với các nhân viên. Hải quan Thái Lan đã chuyển đổi EDI sang quan điểm triết lý hệ thống mở, có nghĩa là hệ thống dữ liệu phải đƣợc trao đổi bằng nhiều phƣơng tiện với tất cả khách hàng (kể cả những ngƣời làm kinh doanh và phi kinh doanh), với các đối tác (các cơ quan chính phủ, kể cả trong và ngoài nƣớc) và các nhân viên. Dự án yêu cầu phải tái thiết kế tất cả các ứng dụng dựa trên Web, áp dụng ebXML nhƣ một thông điệp chuẩn. Singapore là một nƣớc có ngành hải quan phát triển, hiện đại không chỉ so với các nƣớc trong khu vực Đông Nam Á mà còn phát triển so với các nƣớc trên toàn thế giới. Singapore đã nhận thức đƣợc sự quan trọng của CNTT đối với mọi lĩnh vực đặc biệt là Thuế và Hải quan. Chính vì thế Singapore đã triển khai nhiều dự án, xây dựng đƣợc các hệ thống hoàn chỉnh nhƣ: - Hệ thống quan điện tử 59 - Hệ thống thông quan trƣớc đối với vận chuyển hàng chuyển phát nhanh - Hệ thống TQĐT đối với container - Hệ thống xác định mục tiêu trọng điểm - Hệ thống nộp thuế và lệ phí điện tử - Mở rộng kết nối thông qua mạng giá trị gia tăng - Hệ thống tự tính, tự nộp thuế Các hệ thống trên không chỉ mang đến sự tiện lợi cho khách hàng, giảm thiểu công việc cho các nhân viên mà còn đảm bảo đƣợc sự an toàn cho các thông tin đƣợc khách hàng cung cấp. Điểm chung của các hệ thống trên là đều sử dụng hệ thống xác thực điện tử đối với mọi thông tin kê khai. 3.2. Xây dựng giải pháp an toàn trong Hải quan điện tử Việt Nam Do thủ tục HQĐT đƣợc thực hiện dựa trên hệ thống công nghệ thông tin, vì vậy, việc đảm bảo kỹ thuật cho hệ thống vận hành liên tục 24 giờ trong ngày là rất quan trọng, một trục trặc nhỏ trong hệ thống cũng có thể gây đình trệ hoạt động của hải quan và gây trở ngại lớn cho hoạt động xuất nhập khẩu của doanh nghiệp. Do vậy, việc xây dựng một giải pháp tổng thể về an ninh an toàn cho toàn ngành là rất cần thiết. Nhìn vào ngành Hải quan các nƣớc trong khu vực cũng nhƣ trên toàn thế giới nói riêng, cũng nhƣ toàn bộ những lĩnh vực đƣợc áp dụng công nghệ thông tin trên toàn thế giới nói chung, chúng ta có thể thấy đƣợc ƣu điểm của mô hình trao đổi dữ liệu điện tử EDI. Đó là việc trao đổi dữ liệu nhanh chóng, an toàn và thống nhất theo cùng một chuẩn và có thể kiểm soát đƣợc mọi hoạt động trong hệ thống. Hải quan điện tử Việt Nam cần phải triển khai xây dựng hệ thống thông quan điện tử một cách hoàn thiện theo mô hình này, đặc biệt là chức năng an toàn đối với dữ liệu đƣợc trao dổi trong hệ thống. Hệ thống có thể đƣợc xây dựng nhƣ sau: 60 Hình 12: Mô hình kiến trúc hệ thống thông quan điện tử Doanh nghiệp Cục hải quan Chi cục hải quan Client SLXNK MSQueue KDTMSGC2 SLXNK TQDTPhanLuong TQDTXuLyMsgCuc KDTServiceCuc KDTTransportCuc ThongQuanDienTu1 TQDTCuc KDTService KDTMSGC1 QLRR_Cuc ThongQuanDienTu2 SLXNK QLRR_CC SXXKGTT22 KeToan559 KDTTransportChiCuc KDTServiceChiCuc TQDTPhanLuongChiCuc TQDTXuLyMsgChiCuc TQDTReNhanh Hình 13: Mô hình hệ thống thông quan điện tử 61 Trong đó: Doanh nghiệp Client: Chƣơng trình client dùng để soạn dữ liệu, gửi và nhận dữ liệu với hải quan (thông qua webservice KDTService) Cục hải quan KDTService: Webservice có nhiệm vụ tiếp nhận và xử lý các yêu cầu do client của doanh nghiệp gửi đến. Các loại yêu cầu gồm: Các yêu cầu gửi dữ liệu: webservice ghi message vào db KDTMSGC1 Các yêu cầu lấy thông tin phản hồi: webservice lấy message từ db KDTMSGC1 trả về. KDTServiceCuc: Định kỳ lấy các message mới do doanh nghiệp gửi đến trong db KDTMSGC1 xử lý và lƣu kết quả vào db ThongQuanDienTu1. TQDTPhanLuong: Định kỳ lấy các chứng từ chƣa phân luồng trong db ThongQuanDienTu1 phân luồng, ghi chứng từ và kết quả phân luồng vào db TQDTCục đồng thời lƣu message vào db KDTMSGC1 để gửi xuống chi cục. TQDTXuLyMsgCuc: Định kỳ lấy các message mới do chi cục gửi lên trong db KDTMSGC1 xử lý và lƣu kết quả vào db TQDTCuc. KDTTransportCuc: Định kỳ lấy các message cần gửi xuống chi cục trong db KDTMSGC1 đƣa vào queue, đồng thời lấy các message do chi cục gửi lên trong queue ghi vào db KDTMSGC1. Chƣơng trình SLXNK: Là chƣơng trình winform cung cấp các chức năng để cán bộ hải quan cấp cục thực hiện thông quan tờ khai. Db KDTMSGC1: Lƣu các loại message sau: Message doanh nghiệp gửi hải quan Message hải quan phản hồi cho doanh nghiệp Message gửi chi cục hải quan Message nhận đƣợc của chi cục hải quan 62 Db ThongQuanDienTu1: Lƣu các chứng từ của doanh nghiệp gửi hải quan do service TQDTPhanLuong phân tích các message ra. Db TQDTCuc: Lƣu dữ liệu nghiệp vụ phục vụ công việc của các cán bộ thông quan điện tử ở cấp cục. Db QLRR_Cuc: Lƣu dữ liệu profile rủi ro phục vụ việc phân luồng các chứng từ. MSQueue: thực hiện việc truyền, nhận message giữa cục hải quan với các chi cục hải quan. Chi cục hải quan KDTTransportChiCuc: Định kỳ lấy các message cần gửi lên cục trong db KDTMSGC2 đƣa vào queue, đồng thời lấy các message do cục gửi xuống trong queue ghi vào db KDTMSGC2. KDTServiceCuc: Định kỳ lấy các message mới của doanh nghiệp do cục chuyển tiếp xuống trong db KDTMSGC2 xử lý và lƣu kết quả vào db ThongQuanDienTu2. TQDTReNhanh: Định kỳ lấy các chứng từ mới trong db ThongQuanDienTu2 thực hiện phân loại theo danh sách doanh nghiệp khai tốt, ghi kết quả vào db SLXNK. TQDTPhanLuongChiCuc: Định kỳ lấy các chứng từ chƣa phân luồng trong db SLXNK phân luồng, ghi chứng từ và kết quả phân luồng vào db SLXNK đồng thời lƣu message phản hồi vào db KDTMSGC2 để gửi lên cục. KDTXuLyMsgChiCuc: Định kỳ lấy các message mới của cục gửi chi cục xử lý và lƣu kết quả vào db SLXNK. Chƣơng trình SLXNK: Là chƣơng trình winform cung cấp các chức năng để cán bộ hải quan cấp chi cục thực hiện thông quan tờ khai. Db KDTMSGC2: Lƣu các loại message sau: Message doanh nghiệp gửi hải quan Message hải quan phản hồi cho doanh nghiệp Message gửi cục hải quan Message nhận đƣợc của cục hải quan 63 Db ThongQuanDienTu2: Lƣu các chứng từ của doanh nghiệp gửi hải quan do service TQDTPhanLuongChiCuc phân tích các message ra. Db SLXNK: Lƣu dữ liệu nghiệp vụ phục vụ công việc của các cán bộ thông quan điện tử ở cấp chi cục. Db QLRR_CC, KeToan559, GTT22, SXXK: Là các database của các hệ thống hải quan liên quan phục vụ công việc của các cán bộ thông quan điện tử ở cấp chi cục. Các dữ liệu hay các message đƣợc trao đổi trong hệ thông sẽ đƣợc mã hóa và xác thực bằng chữ ký điện tử. Để thực hiện đƣợc điều này Hải quan Việt Nam cần xây dựng đƣợc một mô hình chứng thực điện tử theo mô hình CA mà cụ thể là mô hình dạng cây hay còn gọi là Root Model: RootCA Cuc HQ Sub CA1 User Cuc HQ Sub CA2 Cuc HQ Sub CA3 User UserUser User User Cuc HQ Sub CAi Cuc HQ Sub CAn User User UserUser Hình 14: Mô hình hệ thống CA dạng cây Mô hình này cho phép xây dựng một hệ thống CA dạng hình cây với một gốc duy nhất gọi là Root CA, dƣới RootCA có thể là các Sub CA(các Cục HQ) và dƣới các Sub CA lại có thể là các Sub CA khác (Chi cục HQ). Thông thƣờng khi Root CA đã có các Sub CA thì nó không trực tiếp cấp chứng chỉ số (DC – Digital Certificate) cho ngƣời dùng cuối (các công ty, doanh nghiệp). Root CA chỉ cấp DC cho các Sub CA còn các Sub CA cấp DC trực tiếp cho ngƣời dùng cuối. Với mô hình dạng cây sẽ đảm bảo sự quản lý thống nhất trong toàn ngành hải quan bao gồm: - Thống nhất về chuẩn khoá (khoá 2 cặp); 64 Tờ khai hải quan Tờ khai hải quan Mã hóa Giải mã Dữ liệu đã được mã hóa Hệ thống quản lý khóa Khóa mã hóa Khóa giải mã - Thống nhất về độ dài khoá; - Thống nhất về việc sử dụng các thuật toán; - Tổng cục là đơn vị quyết định việc cấp, cập nhật và thu hồi khoá của các Cục; - Thống nhất việc tin cậy với các hệ thống CA khác ngoài ngành khi có nhu cầu. - Việc Tổng cục hải quan quản lý các chính sách cơ bản này không làm giảm khả năng chủ động của các Cục hải quan địa phƣơng. Các Cục là các đơn vị trực tiếp quản lý chứng chỉ ngƣời dùng, cung cấp các dịch vụ cho các ứng dụng của đơn vị mình (tuy nhiên phải đảm bảo tuân thủ việc cấp DC dùng chung giữa các Cục). Để sử dụng đƣợc chữ ký điện tử vào kê khai hải quan, doanh nghiệp cần đăng ký với Tổng cục hải quan thông qua các Cục và chi Cục. Sau đó doanh nghiệp sẽ đƣợc cấp chữ ký số. Sau khi kê khai doanh nghiệp tiến hành ký và mã hóa dữ liệu sau đó gửi đến cơ quan hải quan. Với thao tác nhƣ vậy thì dữ liệu của doanh nghiệp đƣợc đảm bảo toàn vẹn và có tính xác thực. Cơ quan hải quan sau khi nhận đƣợc giữ liệu sẽ giải mã dữ liệu đó, lấy chữ ký trong giữ liệu và xác thực ngƣời gửi. bên cạnh đó cũng có thể dựa vào bản tóm lƣợc của dữ liệu để kiểm tra tính toàn vẹn của dữ liệu. Cơ quan Hải quan sau khi thẩm định tờ khai, cũng sẽ sử dụng chữ ký điện tử để ký vào thông tin phản hồi cho doanh nghiệp. Dựa vào chữ ký đó doanh nghiệp có thể tin tƣởng đó là thông tin chính xác của cơ quan Hải quan và có thể hoàn toàn yên tâm. 3.3. Đánh giá Thủ tục HQĐT ra đời ở Việt Nam mang đến nhiểu lợi ích cho cả doanh nghiệp và cơ quan Hải quan. Tuy nhiên vì mới chỉ trong thời gian triển khai thí điểm nên hệ thống HQĐT còn nhiều thiếu xót cả về hệ thống cũng nhƣ cách thức hoạt động. Một điểm cần phải lƣu ý đó chính là tính bảo mật của dữ liệu trong hệ thống chƣa đƣợc nâng cao. 65 Những kẻ xấu có thể dựa vào điểm yếu này để lấy cắp, làm sai lệch dữ liệu làm ảnh hƣởng tới doanh nghiệp và cơ quan Hải quan. Để khắc phục yếu điểm này, việc áp dụng chữ ký điện tử là một biện pháp hữu hiệu. Với chữ ký điện tử, doanh nghiệp có thể yên tâm là dữ liệu của mình đƣợc bảo vệ an toàn, đảm bảo tính toàn vẹn cũng nhƣ tính xác thực. Với chữ ký điện tử thì trách nhiệm của doanh nghiệp cũng nhƣ cơ quan Hải quan cũng đƣợc nâng cao hơn đối với những dữ liệu gửi đi. Bên cạnh đó ngành Hải quan có thể đối phó với các loại tội phạm khủng bố quốc tế, buôn lậu, vâṇ chuyển ma túy, vũ khí và các hoạt động rửa tiền dƣới mọi hình thức… Chữ ký điện tử đã đƣợc áp dụng trên thế giới trên dƣới 10 năm, tuy nhiên ở Việt Nam việc triển khai chữ ký điện tử mới đang ở giai đoạn bắt đầu và cũng đã đạt đƣợc kết quả tốt ở một số ngành nhƣ ngân hàng, kho bạc.... Chữ ký điện tử đã và đang mang lại lợi ích cũng nhƣ những tác tác dụng hiệu quả tới sự phát triển trong mọi lĩnh vự trên toàn thế giới. Riêng với ngành hải quan và đặc biệt là HQĐT ở Việt Nam, việc triển khai chữ ký điện tử là rất cần thiết và cần phải triển khai ngay. Đó chính là một bƣớc quan trọng trong công cuộc hiện đại hóa ngành hải quan, đảm bảo đáp ứng đủ tiêu chuẩn đặc biệt là tiêu chuẩn an toàn để có thể yên tâm kết nối với hệ thống Hải quan hiện đại trong khu vực và trên toàn thế giới. Đó chính là nhiệm vụ chiến lƣợc trong công cuộc xây dựng và phát triển đất nƣớc trong thời kỳ hội nhập. 66 Chƣơng 4: PHẦN MỀM ỨNG DỤNG 1. Gới thiệu về phần mềm ký điện tử GnuPG Chƣơng trình GNU Privacy Guard (GnuPG hay là GPG) là một phần mềm tự do đƣợc viết nhằm mục đích thay thế bộ phần mềm mật mã hóa PGP và đƣợc phổ biến với giấy phép GNU General Public Licence. Chƣơng trình GPG nằm trong dự án GNU của Tổ chức Phần mềm Tự do (Free Software Foundation). Chƣơng trình GPG hoàn toàn tuân theo các tiêu chuẩn OpenPGP của IETF và đƣợc sự ủng hộ của chính phủ Đức. Các phiên bản hiện hành của bộ phần mềm PGP (và chƣơng trình Filecrypt của hãng Veridis) có thể hoạt động chung với GPG và các hệ thống tuân theo tiêu chuẩn OpenPGP khác. Mặc dù một số phiên bản cũ của bộ phần mềm PGP cũng có thể hoạt động chung với PGP, một phần các khả năng đặc trƣng của các phiên bản mới không đƣợc hỗ trợ. Vì lý do này, ngƣời sử dụng cần lƣu ý các điểm xung khắc đó để có thể tránh chúng. Vào lúc đầu, GnuPG đƣợc phát triển Werner Koch. Phiên bản 1.0.0 đƣợc phát hành vào ngày 7 tháng 9 năm 1999. Bộ Liên Bang Kinh Tề và Kỹ Thuật của nƣớc Đức cung cấp chi phí cho việc thi hành tài liệu của chƣơng trình và mang chƣơng trình qua hệ điều hành Microsoft Windows vào năm 2000. Chƣơng trình GnuPG tuân theo tiêu chuẩn OpenPGP, do đó lịch sử của OpenPGP không kém phầ