互联网“实名制”、手机“实名制”等等“实名制”是目前最热门的话题，而目前一个更加热门的话题是“流氓软件”，或称“恶意软件”。为此， 中国互联网协会于10月30日正式成立 “反恶意软件协调工作组” ，将以行业自律方式进一步推进反对恶意软件工作， 团结广大企业共同抵制恶意软件的传播，为我国互联网发展创造良好的环境。

    笔者认为：行业自律固然重要，但是，按照以往的经验，“自律”的结果往往还是你行我素，大家并没有“自律”，为什么？因为还没有形成一个约束大家“自律”的有效机制，本文就是探讨这种“自律”机制的建设。

    这种“自律”机制就是软件也实现 “实名制”，只有每个在互联网上传播的软件都“实名制”了，大家才会 “自律”并且一定会“自律”。当然，同时也要广泛宣传，让每个网民在安装任何从互联网上下载的软件时一定要检查此软件是否已经 “实名制”。

    那么，软件如何“实名制”？这其实已经早已有了非常成熟的技术手段，就是代码签名证书！由于软件是一个数字化产品，要实现其“实名制”，就得在软件附上软件开发商的名称，此名称当然不是软件上“声称”的名称，一定是通过权威第三方认证的软件开发商单位名称，并且是以数字方式附上，以方便最终用户在没有运行软件之前就能看到软件开发商的真实身份。说起来，好象有点抽象，还是先看看目前国际上的大公司是如何发布“实名制”软件的吧！

    先看看下载微软的 IE7安装软件后，点击运行显示如下图1所示画面。可以看出：此软件已经数字签名，Windows能验证签名并读出软件发行者为：Microsoft Corporation，点击显示的发行者名称，就会显示数字签名详细信息，并可以查看数字签名证书信息，这就是软件的“实名制”，让最终用户明明白白知道此软件由谁发行。

    我们再来看看 Google桌面搜索软件，在其网站上下载完毕后直接运行，会显示如下图2所示画面。同样可以看出：此软件已经数字签名，Windows能验证签名并读出软件发行者为：Google Inc.，点击显示的发行者名称，就会显示数字签名详细信息，并可以查看数字签名证书信息，这就是软件的 “实名制”，让最终用户明明白白知道此软件由谁发行。

    让我们再来看看没有数字签名软件，如下图3所示，您运行没有数字签名的软件后，会提示您“无法验证发行者”，并显示一个红色的 X 警告“此文件没有包含有效的数字签名以验证其发行者”。也就是说，此软件代码没有 “实名制”，用户不得安装任何没有数字签名的文件，以确保其电脑系统的安全！

    现在，大家应该已经能够看到如何实现软件“实名制”了，就是软件开发商/发行者必须使用其代码签名证书数字签名其软件代码，这样，软件就有了身份证明，使得互联网上的软件都与软件开发商一一对应起来，不仅可以让最终用户放心使用，同时也大大保护了软件开发商的利益，因为数字签名后软件不可能被非法篡改了，也不可能被非法捆绑流氓软件了！

    请大家注意：用于数字签名的代码签名证书一定要是 Windows 能够验证的代码签名证书，也就是说，签发代码签名证书的根证书一定要已经预置在 Windows “受信任的根证书颁发机构”中，同时此根证书还必须具有“代码签名”的预期目的，否则即使已经数字签名， Windows 还是无法验证其有效性。

    笔者认为：只有有了软件“实名制”的“自律”机制，才能真正做到“自律”，才能真正抵制恶意软件的传播，这是一个治本的策略；而开发所谓的“流氓软件查杀工具”，治标不治本，只是一个权宜的防卫手段而已。只有采取治本的行动，建立其切实有效的“自律”机制， 才能最终为我国互联网的健康发展创造良好的应用环境和促进互联网的快速健康发展。