曹 頔

(中鐵建電氣化局集團(tuán) 南方工程有限公司， 武漢 440055)

一、電子發(fā)票起源與應(yīng)用

電子發(fā)票是信息時(shí)代的產(chǎn)物，伴隨電子商務(wù)的快速發(fā)展而產(chǎn)生、發(fā)展。根據(jù)歐盟關(guān)于電子發(fā)票的定義：電子發(fā)票是借由電子數(shù)據(jù)交換（EDI）將電子發(fā)票由賣方系統(tǒng)傳至買方系統(tǒng)，在EDI制度中，紙張將被使用電信網(wǎng)絡(luò)傳播的計(jì)算機(jī)工作所取代。據(jù)我國臺灣地區(qū)“財(cái)政部賦稅署”定義，電子發(fā)票是指營業(yè)人以計(jì)算機(jī)開立統(tǒng)一發(fā)票，并利用網(wǎng)際網(wǎng)絡(luò)傳輸。

電子發(fā)票對營業(yè)人而言，除可實(shí)時(shí)傳送發(fā)票請款，提高經(jīng)營效率，也可以節(jié)省郵寄發(fā)票等各項(xiàng)成本；對稽征機(jī)關(guān)而言，有利稽征機(jī)關(guān)推廣使用媒體申報(bào)或網(wǎng)絡(luò)申報(bào),進(jìn)而節(jié)省資料整理、登錄人力，簡化申報(bào)作業(yè)。電子發(fā)票可為交易雙方提供及時(shí)、有效的交易憑證，也有利于稅務(wù)機(jī)關(guān)對企業(yè)經(jīng)營情況進(jìn)行在線監(jiān)控，改善原有稅收征管的滯后和被動。

目前，已有不少網(wǎng)絡(luò)商家在銷售活動中使用電子發(fā)票，如蘇寧易購、當(dāng)當(dāng)網(wǎng)、海爾商城等一批電商企業(yè)已成為首批電子發(fā)票試點(diǎn)企業(yè)。[1]與紙質(zhì)發(fā)票相比，電子發(fā)票帶來的積極效用不言而喻。傳統(tǒng)紙質(zhì)發(fā)票的流轉(zhuǎn)多數(shù)依靠郵寄，郵寄過程中的不確定性導(dǎo)致發(fā)票收到的時(shí)間可控性較差。其次，按照國際付款慣例通常是先取得發(fā)票再付款，因此，對于一貫視現(xiàn)金流為生命的現(xiàn)代企業(yè)來講，可控的現(xiàn)金流帶給企業(yè)的是非?，F(xiàn)實(shí)的、看得到、摸得著的財(cái)務(wù)利益。此外，在ERP系統(tǒng)的應(yīng)用中，供應(yīng)商按照客戶需求，提前備足大約1～2周的存貨，客戶便可按需領(lǐng)用，ERP系統(tǒng)會根據(jù)物料的消耗情況生成相應(yīng)的電子發(fā)票。這樣就避免了頻繁下采購訂單、頻繁核對不同采購訂單、發(fā)貨單和銷售發(fā)票的流程以及由此可能出現(xiàn)的錯(cuò)誤，既降低了管理成本、提高了效率，又極大地提升了企業(yè)競爭力。

二、電子發(fā)票的安全問題

電子發(fā)票有其積極的作用，但也可能存在著安全隱患。雖然目前使用電子發(fā)票的都是商業(yè)信譽(yù)良好的商家，他們開具電子發(fā)票的流程都是正規(guī)的，從這點(diǎn)講，消費(fèi)者收到（通常是下載）的電子發(fā)票的真實(shí)性是毋庸置疑的。然而，隨著電子發(fā)票的推廣，目前在使用電子發(fā)票的過程中存在一定的安全隱患，有必要從信息安全的角度，分析網(wǎng)絡(luò)安全中常見的欺詐伎倆與電子發(fā)票安全性的關(guān)系。

為了能讓使用者方便查詢發(fā)票的真?zhèn)?，如圖1，電子發(fā)票在票面上提供查詢真?zhèn)蔚木W(wǎng)址，并提供二維碼。用戶可以通過訪問該網(wǎng)站，輸入發(fā)票上的查驗(yàn)碼等信息或者掃描二維碼轉(zhuǎn)到稅務(wù)機(jī)關(guān)的服務(wù)網(wǎng)站就能查詢該發(fā)票的信息，并判斷真?zhèn)?。雖然這些功能為用戶提供了便利，但是也帶來了安全隱患。

（一）http協(xié)議的安全問題

電子發(fā)票中提供驗(yàn)證真?zhèn)蔚木W(wǎng)址使用的是http協(xié)議，超文本傳輸協(xié)議http協(xié)議被用于在Web瀏覽器和網(wǎng)站服務(wù)器之間傳遞信息。http協(xié)議以明文方式發(fā)送內(nèi)容，不提供任何方式的數(shù)據(jù)加密，如果攻擊者截取了Web瀏覽器和網(wǎng)站服務(wù)器之間的傳輸報(bào)文，就可以直接讀懂其中的信息，因此，在我們查驗(yàn)發(fā)票真?zhèn)蔚倪^程中使用http協(xié)議有可能會泄露發(fā)票的信息。

圖1 正規(guī)電子發(fā)表

圖2 纂改后的電子發(fā)票

（二）驗(yàn)證網(wǎng)址和二維碼的可篡改問題

在電子發(fā)票生成、流轉(zhuǎn)、儲存的過程中，電子發(fā)票均為pdf格式。[2]電子信息化的存儲存在被非法篡改的可能，雖然可以根據(jù)電子簽名來驗(yàn)證文件是否被篡改，然而并非所有的pdf閱讀軟件進(jìn)行判斷或者提示用戶。比如使用類似pdfedit的軟件把正確的網(wǎng)址http://www.12366.gov.cn改成http://www.12366.gou.cn，如圖2?；蛘咛鎿Q二維碼，比如圖1，原本正確的二維碼掃描出來得到的信息為http://cy.12366.gov.cn/dzfp/cy.do?cym=20000000144011434210548 5538200331。然而可以使用二維碼生成器把非法的網(wǎng)址http://cy.12366.gou.cn/dzfp/cy.do?cym=20000000 1440114342105485538200331，這里把gov中的v偷換成u，生成二維碼并替換原有正確的二維碼，如圖2。二維碼的篡改更加容易被使用者忽視，首先肉眼無法識別出二維碼的信息，其次，掃描之后得到的信息過于繁雜，用戶一般不會認(rèn)真分辨。驗(yàn)證網(wǎng)址和二維碼的可篡改帶來的問題主要有如下兩點(diǎn)。

1.給偽造發(fā)票帶來了可乘之機(jī)：偽造的電子發(fā)票可以篡改網(wǎng)址和二維碼，使得用戶訪問非官方網(wǎng)站，在非官方網(wǎng)站按照偽造發(fā)票的信息查詢得出的結(jié)果是真發(fā)票。

2.訪問非法網(wǎng)站帶來危害：非法的網(wǎng)址有可能把我們引向帶有木馬的網(wǎng)站或者釣魚網(wǎng)站。木馬會盜取計(jì)算機(jī)內(nèi)的數(shù)據(jù)甚至使得操作系統(tǒng)癱瘓。而“釣魚”是一種網(wǎng)絡(luò)欺詐行為，不法分子有可能仿造稅務(wù)局的官方網(wǎng)站，在驗(yàn)證發(fā)票真?zhèn)蔚牟僮髦筇崾居脩糁歇勔源藖眚_取用戶銀行或信用卡賬號、密碼等私人資料。[3]即便是對于真發(fā)票而言，也存在被惡意篡改的可能。比如，在電子發(fā)票生成的過程中，用作電子發(fā)票生成的電腦就已經(jīng)感染病毒，病毒篡改電子發(fā)票的內(nèi)容。

（三）沒有統(tǒng)一的查驗(yàn)應(yīng)用

不同地區(qū)電子發(fā)票的查驗(yàn)需要登錄當(dāng)?shù)囟悇?wù)部門的網(wǎng)站進(jìn)行操作。同時(shí)部分地區(qū)推出了相應(yīng)的查驗(yàn)發(fā)票的APP應(yīng)用，雖然每個(gè)地區(qū)的APP功能都相似，都有查驗(yàn)，甚至積分抽獎功能等，不同地區(qū)都推出各自的APP造成了資源重復(fù)浪費(fèi)。同時(shí)，存在非官方推出的統(tǒng)一查驗(yàn)的APP應(yīng)用，該應(yīng)用的查詢也是基于各地方稅務(wù)局的數(shù)據(jù)。然而這使得用戶在查詢過程中數(shù)據(jù)被非法收集的可能，非官方的應(yīng)用安全性也得不到保障。

三、電子發(fā)票安全的防范、改進(jìn)策略

（一）提供安全的https鏈接

稅務(wù)部門應(yīng)該把http服務(wù)換成https服務(wù)。https是以安全為目標(biāo)的http通道，簡單講是http的安全版。即http下加入SSL層，https的安全基礎(chǔ)是SSL，因此加密的詳細(xì)內(nèi)容就需要SSL。它是一個(gè)URI scheme（抽象標(biāo)識符體系），句法類同http:體系。用于安全的http數(shù)據(jù)傳輸。https:URL表明它使用了http，但https存在不同于http的默認(rèn)端口及一個(gè)加密/身份驗(yàn)證層（在HTTP與TCP之間）。這個(gè)系統(tǒng)的最初研發(fā)由網(wǎng)景公司(Netscape)進(jìn)行，并內(nèi)置于其瀏覽器Netscape Navigator中，提供了身份驗(yàn)證與加密通訊方法。因此，使用https服務(wù)能保證驗(yàn)證發(fā)票的傳輸安全。

（二）在安全的環(huán)境中進(jìn)行查驗(yàn)

為了防止篡改后存在安全隱患的鏈接，對于驗(yàn)證人而言，當(dāng)收到電子發(fā)票的pdf文檔，推薦使用Adobe官方的PDF閱讀器作為打開軟件，首先利用電子簽名保證簽名者在可信列表里，并且確保文件的完整性。在點(diǎn)擊鏈接前或者掃描二維碼之后，認(rèn)真核對是否為官方網(wǎng)址。對于任何使用電子發(fā)票的人員來說在電子發(fā)票生成、流轉(zhuǎn)、存儲的過程中，確保所使用的電腦無病毒、無木馬，并且保證網(wǎng)絡(luò)環(huán)境的安全。

（三）開發(fā)統(tǒng)一的APP應(yīng)用

國家稅務(wù)部分應(yīng)該統(tǒng)一開發(fā)相關(guān)的電子發(fā)票的APP應(yīng)用。統(tǒng)一的APP應(yīng)用能減少各地方稅務(wù)局開發(fā)的經(jīng)費(fèi)，而且統(tǒng)一的APP仍然可以使用各地方的數(shù)據(jù)庫，而不需要重新統(tǒng)一布局。這樣的APP還能減少市面上魚龍混雜的查詢APP帶來的安全隱患。甚至可以開發(fā)一款專門用于讀取發(fā)票pdf文檔的軟件，不依賴其他pdf閱讀軟件打開后電子發(fā)票，從而直接地讀取數(shù)據(jù)、進(jìn)行驗(yàn)證等。

［1］黃浩.電子發(fā)票進(jìn)行時(shí)[J].中國信息化，2013（20）：50-53﹒

［2］環(huán)球網(wǎng).PDF與電子發(fā)票 引領(lǐng)發(fā)票未來發(fā)展的方向[EB/OL].（2014-04-15）（2016-02-26）.http://tech.huanqiu.com/Enterprise/2014-04/4945641.html.2014﹒

［3］程科.新型電信詐騙：“釣魚網(wǎng)站”初探[J].中國公共安全（學(xué)術(shù)版），2011（3）：100-105﹒