財政部推動「網路申報繳稅整體作業」,提供納稅人更方便、多元化的報繳稅管道,達成政府便民服務政策,並落實無紙化之政策目標。「網路申報繳稅整體作業」業經推動10年,申報件數逐年成長,去(97)年已達268萬戶採用網路申報。納稅人採用網路申報,將使報繳稅過程更輕鬆、簡便,提昇納稅意願,使得稅務資訊和服務更加人性化、生活化和效率化。「網路申報繳稅系統」為確保整體系統作業之安全,並取得廣大民眾的信賴,對於整體系統營運的安全及保障,分為幾方面說明。
一、機房管理安全機制:
網路報稅機房具備全天候網管監控、環境監視、門禁管制及不斷電設備等,並具備異地備援中心,確保報稅全程服務不中斷。
二、網路安全機制:
網路報稅系統採用多層防火牆架構防範惡意入侵,並將內部網路及伺服器區分成幾個相互隔離的網路區段,除有效防護電腦主機設備不被入侵,更針對資料庫主機建構起第二道的防護網,建立更強韌的整體網路安全防護。
三、統安全防護機制:
1.網路報稅系統具備防火牆及入侵偵測系統,24小時偵測監控,防止外界入侵。
2.一年進行兩次弱點掃描及滲透測試,以加強系統安全。
3.網路報稅網站全國僅建置一個,以避免駭客魚目混珠建置虛偽報稅網站。在網路報稅期間,委請「行政院國家資通安全會報技術服務中心」協助建置報稅網站系統安全機制,並進行24小時監控。
4.由財稅資料中心及各國稅局組成小組,於每年度進行2次實地查驗及不定期抽查,並針對各項安全項目持續進行監控及檢討改進作業方式。
四、納稅義務人下載所得資料及上傳申報資料安全機制:
1.為加強所得資料之保護,所得資料庫建置於財稅資料中心,資料經過加密處理,且在資料庫中維持加密狀態,於納稅義務人下載時才進行解密。
2.納稅義務人若要下載所得資料,需擁有身分憑證(內政部自然人憑證IC卡、金融憑證),經由報稅網站確認其身分後,方可下載所得資料。其下載及上傳之資料,均經過簽章、加密及包裝,以達到不可否認性、完整性與保密性功能,確保資料之安全。
3.納稅義務人下載所得資料時,用戶端程式需連結到網頁伺服器,再將訊息傳送至應用系統伺服器,始到財稅資料中心所得資料庫伺服器查詢資料。此種3層式架構可隱藏資料庫伺服器所在位址,以確保資料庫內資料之安全。
4.使用金融交易等級之128 bits SSL傳輸加密機制,保障申報資料傳輸過程的安全,納稅義務人申報資料上傳至報稅網站,經加密後儲存於資料庫內,且在資料庫中維持加密狀態。
5.採用「身分證統一編號」加「戶口名簿戶號」方式辦理申報者,此種申報方式不提供資料下載,由民眾自行輸入相關報稅資料。限制每人每天僅能上傳5次申報資料,以防止駭客惡意上傳資料進行破壞。
五、報稅軟體安全機制:
1.經由瀏覽器線上自動下載之運算元件均經由憑證進行簽章認證,防止納稅人下載惡意仿冒軟體。
2.離線端軟體提供檢核機制,確保使用者下載之程式元件能安全地在使用者電腦上作業,防止惡意之假冒與入侵。
3.使用者輸入主機端應用系統之指令,皆以變數儲存,與SQL指令在資料庫主機分開執行,以防範使用者利用SQL-Injection等攻擊方式竊取資料。
