一．Background

基于Internet的網(wǎng)絡(luò)經(jīng)濟(jì)一直吸引著人們的眼球，隨著門(mén)戶網(wǎng)站的局勢(shì)已定，現(xiàn)在又涌現(xiàn)出一批以“電子商務(wù)”命名的網(wǎng)絡(luò)公司。相比之下，他們比較冷靜和謹(jǐn)慎。在企業(yè)級(jí)應(yīng)用上，他們不僅僅滿足于協(xié)助中小企業(yè)上網(wǎng)，更多的是想提供一些電子商務(wù)的主打產(chǎn)品：CRM、ERP、SCM等，或者提供從IDC到ASP一條龍服務(wù)。 

但是，就我所經(jīng)歷的情況來(lái)看，真正能埋頭做產(chǎn)品的公司微乎其微。一是因?yàn)橥度胩�大，二是因�(yàn)楹茈y找到合適的市場(chǎng)定位。做方案和集成，無(wú)非是東拼西湊，糊弄初級(jí)客戶，完全沒(méi)有自己的東西。那么，目前電子商務(wù)公司除了做一些網(wǎng)站建設(shè)和應(yīng)用項(xiàng)目，還有哪些盈利點(diǎn)？依我所見(jiàn)，由于國(guó)內(nèi)的電子商務(wù)環(huán)境還不成熟，沒(méi)有完整的信用體制和支付手段，在這個(gè)基礎(chǔ)上，許多電子商務(wù)活動(dòng)都是很難開(kāi)展的�？蛻舻念檻]也很多，僅從安全性上考慮，比如你做ASP（應(yīng)用服務(wù)提供商），客戶很難接受與其他人共享一塊硬盤(pán)，把數(shù)據(jù)交給你維護(hù)更是憂心忡忡；辛辛苦苦開(kāi)發(fā)出一套系統(tǒng)，放到網(wǎng)上，很輕易的被黑客竊取了源代碼，讓人心痛；架在一個(gè)不堪一擊系統(tǒng)上的應(yīng)用，黑客篡改了頁(yè)面和數(shù)據(jù)，都很難向客戶交待，影響了自己的聲譽(yù)和進(jìn)一步的業(yè)務(wù)合作。 

這就體現(xiàn)出了安全的重要性。是的，安全和黑客技術(shù)是比較偏，有些搞軟件開(kāi)發(fā)的人甚至對(duì)此嗤之以鼻，但是我們不能否認(rèn)安全在電子商務(wù)中的基石作用，不考慮安全和不懂安全的系統(tǒng)分析員來(lái)設(shè)計(jì)開(kāi)發(fā)電子商務(wù)系統(tǒng)，最后注定會(huì)失敗的很慘。

安全是一個(gè)很復(fù)雜的系統(tǒng)工程，從最初的制度策略的制定，到最后整個(gè)系統(tǒng)的implement，有很多環(huán)節(jié)。本文僅僅介紹構(gòu)造一個(gè)e-commerce服務(wù)器，來(lái)說(shuō)明在Internet上放置一個(gè)可以安全運(yùn)行的電子商務(wù)WEB服務(wù)器也不是那么的簡(jiǎn)單。

二．Apache

　　為什么要選擇Apache？中小企業(yè)比較樂(lè)于接受較低的系統(tǒng)報(bào)價(jià)，UNIX的網(wǎng)管們也可以從技術(shù)上替我解釋這個(gè)問(wèn)題。是的，相比于漏洞層出不迭的IIS來(lái)說(shuō)，Apache在安全界享有良好的聲譽(yù)，但是一個(gè)默認(rèn)安裝的Apache還是不夠。

1)      操作系統(tǒng)

Apache盡管發(fā)布了Windows、Linux、BSD家族和其他操作系統(tǒng)的版本，但毫無(wú)疑問(wèn)的是，UNIX是最好的選擇。首先是遠(yuǎn)程管理上的方便，同時(shí)SSH提供了遠(yuǎn)程管理維護(hù)的加密通道。在系統(tǒng)性能上，UNIX類系統(tǒng)更加易于優(yōu)化配置。

2)      自身的漏洞

盡管Apache的內(nèi)核沒(méi)有太大的buffer overflows和exploits，但是在1.3.19以前的版本有一個(gè)mod_rewrite漏洞。建議安裝最新的版本1.3.20。

3)      外來(lái)的隱患

現(xiàn)在的電子商務(wù)網(wǎng)站內(nèi)容都不是靜態(tài)，而是動(dòng)態(tài)生成的，所以需要額外的一些模塊，如Java（Jserv）、Perl（mod_perl）、PHP（mod_php）。這些模塊給Apache引入了安全隱患。如Windows平臺(tái)上的Apache+PHP存在目錄遍歷漏洞，UNIX平臺(tái)上，某些版本的Tomcat引擎（Java Servlets和JSP）也存在目錄遍歷、甚至泄露.jsp源代碼的漏洞。

　　Apache和其它軟件產(chǎn)品一樣，多多少少存在安全問(wèn)題。我們不要在嘲笑IIS滿身窟窿同時(shí)，對(duì)Apache抱著100%的放心。一般情況下，有兩個(gè)因素導(dǎo)致軟件的不安全性：技術(shù)上和配置。如果網(wǎng)管們都能很好的配置服務(wù)器，相比之下，軟件中的一些BUG是很容易解決的。