合法数字证书构建企业网络安全屏障

09年年底时，一款名为“执照凶手”的恶性木马下载器在短短9天内侵袭了近百万台电脑，显然成为年底传播势头最凶猛、大多杀毒软件难以清理的高危木马。

这款木马刚出现时并没有被杀毒软件查杀出来，主要原因是它采用了“热键科技（深圳）有限公司”签发的真实的数字签名。正是由于该木马首次采用了真实数字签名，而杀毒行业为避免误杀正当软件，普遍不会查杀具有真实数字签名的文件，所以该木马能突破几乎所有杀毒软件的防护，因而具备空前的免杀能力。

数字签名还值得信任吗？木马也能使用真实的数字签名吗？

据浙江省数字认证中心介绍，数字签名相当于软件的“身份证”，正规软件开发者通常会对软件代码进行数字签名，从而证明软件没有被非法篡改且来源可信，因此杀毒软件往往不会查杀具有数字签名的文件。但问题的关键点在于，不是所有的数字签名都是合法的。根据《中华人民共和国电子签名法》的相关规定，“提供电子认证服务，应当具有符合国家安全标准的技术和设备；必须具有国家密码管理机构同意使用密码的证明文件；同时整个电子认证业务规则（责任范围、作业操作规范、信息安全保障措施等）必须符合国家有关规定。”凡是符合条件的企业，都具有工业与信息化部颁发的电子认证服务许可资质，而记者从国家商用密码管理办公室网站了解到，目前国内具备这种资质的企业只有30家，而热键科技（深圳）有限公司并不在此列。

正是由于该软件的数字签名是不具备电子认证服务许可资质的机构所颁发，所以它不具备合法性。作为公众，我们应该加强认识，正确区分哪些数字签名是具有法律效力的？哪些数字签名是不受法律保护的？

众的周知，数字签名技术广泛应用于数字证书，而数字证书是信息安全领域一个重要的组成部分，它是由权威机构－－CA证书授权中心发行的，能提供在Internet上进行身份验证的一种权威性电子文档，人们可以在互联网交往中用它来证明自己的身份和识别对方的身份，也可以在网上交易中实现身份认证、控制权限、认定责任，保证信息真实性、完整性和信息发送不可抵赖性的作用，但要实现这些作用的前提是结合安全、可靠、可信、权威的认证平台，通过该平台提供安全认证服务。

因此，只有通过合法的认证机构利用数字证书提供的电子认证服务才能得到法律的保障，目前国内CA认证中心总共有100多家，总发证量以超过几千万张，但是其中具有合法运营资质的公司只有30家，有八成的电子认证服务许可机构均无合法资质。

所以用户在使用数字证书前一定要注意颁发证书的CA认证中心是否具有合法资质，只有用户使用具有合法资质颁发的数字证书，同时结合用户的正确使用才能保障自己利益，单独的“数字证书”并不能独扛安全认证大任。

近几年来，媒体对网上银行和数字证书进行了广泛的报道，但是调查表明，公众对于数字证书还是很陌生，使用者很小，正因为用户对数字证书的不了解也导致一些网上资金被盗事件发生。公众对数字证书不了解，对如何正确使用数字证书的知识更加缺乏。因此，加大数字证书宣传力度，向公众普及数字证书相关工作任重道远。

那么我们应该如何识别数字证书，我们又该信任哪些数字证书呢？浙江CA认证中心工作人员表示：数字证书的种类很多，以这次曝光严重的代码签名证书和SSL服务器证书来看，无论是用户还是网站、软件公司的采购人员，都需要注意以下几点：

1、选择合法的机构申请办理数字证书。合法的机构必须同时具备《电子认证服务许可证》、《电子认证服务使用密码许可证》资质，缺一不可；

2、选择具有多年服务经验的CA认证机构，因为他们具有完善、专业的鉴证流程和团队，是数字证书可信度的基本保障。

3、不要因为低廉的价格而选择一些没有资质的公司和其所颁发的数字证书，贪一时的小便宜将会对公司、产品的信任度带来极大的危害；

4、用户在安装软件的过程中一定要学会识别数字证书和数字签名，避免安装一些没有数字证书或数字证书不可信的软件产品，给自己带来损失；

5、申请数字证书后,所有涉及数字证书的应用，（如资金对外转移的网银操作,）除输入密码外,还必须同时使用数字证书才能完成，两者缺一不可。因此，装有数字证书和私钥的USBKEY要自己保管好，不要轻易给别人，同时保管好USBKEY的密码（也称“PIN码”），并经常更新。

“执照凶手”事件的发生引出的问题给我们带来很多的思考，我们应该客观的去看待，不要以偏概全，把部分CA认证公司的做为当成所有CA认证公司的错误。数字证书认证技术仍然是网上交易的主流安全保障技术之一，该事件并不是因为数字认证技术本身出现问题而造成的，更多地是因为管理和服务不到位所造成的，使用数字证书的用户务必先了解清楚数字证书，颁发数字证书的机构也须对用户负责，对“数字证书”负责，真正地去推广应用数字证书。