網路報稅　用戶端安全不可少

| | | | |

    

鑒於網路交易安全問題堪慮，政府提供的網路報稅管道不乏安全等級很高的解決方案。但是網路安全專家指出，如果用戶端安全防護不足或使用者沒有安全使用行為，則後端及傳輸過程做再多防護也是枉然。

今年民眾電子化報稅選擇方式十分多。包括IC自然人憑證或金融憑證、身分證統一編號及戶口名簿戶號資料上傳申報等等。而繳款方式也有電子錢包、信用卡，以及今年新增的晶片金融卡可供選擇。

政府及建置網路報稅系統的系統關貿網路表示，這些方案的技術性質具有相當安全性。

其中自然人憑証是基於PKI（Public Key Infrastructure）建立的雙重認証機制。主管自然人憑證發放的內政部網站寫道：自然人憑証客戶端援用1024位元金鑰加密技術，而存放自然人憑證的憑證管理中心使用2048位元RSA金鑰及SHA-1雜湊函數演算法簽發憑證。「安全等級到達3，僅次於使用者親自前往報稅機關報稅，」內政部資訊人員表示。

而晶片卡也較傳統磁條卡安全性來得高。根據關貿網路提供的資料指出，「晶片金融卡可直接進行密碼正確性之驗證，交易資料經卡片加密處理，僅產生交易驗證碼，以解決密碼及交易資料於傳送過程中被側錄的風險。」

問題在用戶端

安全專家表示，網路報稅安全系統的技術，例如加密，的確可以確保資料在傳輸過程的安全；弱點反而更可能在用戶端。

CA技術顧問林宏嘉指出，眾多安全解決方案著重在強化資料加密的安全性，但有趣的是，資訊犯罪已改從個人電腦下手。「只要使用者電腦被植入木馬或是鍵盤側錄程式，身分証及信用卡資料等任何資料都可以輕鬆到手。」他說，「雖然有許多工具可以協助破解密碼，但駭客根本也犯不著這麼做。」

未定期下載微軟安全更新程式、更新病毒定義檔，都可能使用到漏洞或惡意程式滿布的PC，導致機密資料外洩，他指出。

因應資訊安全攻擊策略轉向用戶端，以及傀儡、間諜軟體等潛伏性竊取資料為主的惡意程式成為主流，用戶端防護也成為軟體業界加強的重點。包括趨勢、賽門鐵克、McAfee等防毒業者都相繼擴充其產品內容到個人防火牆、反間諜軟體、反網釣產品。

而因為安全問題飽受批評的微軟，除了2004年推出以安全為重點的SP2，以及已推出的反間諜產品及年中將推出的安全服務OneCare外，今年底預定推出的Vista，更是首個包含防毒、防間諜軟體的旗艦級作業系統。

安全的使用行為

養成安全的使用行為則是免於讓使用者陷入風險的方法。關貿網路提醒，現行技術尚無法複製晶片金融卡，使用者不要隨意把晶片金融卡密碼外洩即無被盜刷的風險。「使用者也應避免在網咖等公共場所PC上網報稅。」該公司資料指出。

在PC上，除了定義更新防毒程式、微軟修補程式之外，趨勢科技技術顧問戴燊表示，個人防火牆有助於在PC資料外流時加以攔截。此外，平時也要注意調高IE瀏覽器的安全層級，不隨意執行ActiveX或Java應用，以免引狼入室。

他也提醒，無線網路相當方便而普及，但使用者要小心不要登入不知名的AP以免誤入駭客陷阱。

網路報稅和任何網路交易一樣，後端安不安全，或是如何確保資料使用者其實無從得知，戴燊說，「然而可以掌握的是前端。你在使用時網路銀行如何確保安全，就那麼做就對了。」