一．Background

基于Internet的網(wǎng)絡(luò)經(jīng)濟一直吸引著人們的眼球，隨著門戶網(wǎng)站的局勢已定，現(xiàn)在又涌現(xiàn)出一批以“電子商務(wù)”命名的網(wǎng)絡(luò)公司。相比之下，他們比較冷靜和謹(jǐn)慎。在企業(yè)級應(yīng)用上，他們不僅僅滿足于協(xié)助中小企業(yè)上網(wǎng)，更多的是想提供一些電子商務(wù)的主打產(chǎn)品：CRM、ERP、SCM等，或者提供從IDC到ASP一條龍服務(wù)。 

但是，就我所經(jīng)歷的情況來看，真正能埋頭做產(chǎn)品的公司微乎其微。一是因為投入太大，二是因為很難找到合適的市場定位。做方案和集成，無非是東拼西湊，糊弄初級客戶，完全沒有自己的東西。那么，目前電子商務(wù)公司除了做一些網(wǎng)站建設(shè)和應(yīng)用項目，還有哪些盈利點？依我所見，由于國內(nèi)的電子商務(wù)環(huán)境還不成熟，沒有完整的信用體制和支付手段，在這個基礎(chǔ)上，許多電子商務(wù)活動都是很難開展的。客戶的顧慮也很多，僅從安全性上考慮，比如你做ASP（應(yīng)用服務(wù)提供商），客戶很難接受與其他人共享一塊硬盤，把數(shù)據(jù)交給你維護更是憂心忡忡；辛辛苦苦開發(fā)出一套系統(tǒng)，放到網(wǎng)上，很輕易的被黑客竊取了源代碼，讓人心痛；架在一個不堪一擊系統(tǒng)上的應(yīng)用，黑客篡改了頁面和數(shù)據(jù)，都很難向客戶交待，影響了自己的聲譽和進一步的業(yè)務(wù)合作。 

這就體現(xiàn)出了安全的重要性。是的，安全和黑客技術(shù)是比較偏，有些搞軟件開發(fā)的人甚至對此嗤之以鼻，但是我們不能否認安全在電子商務(wù)中的基石作用，不考慮安全和不懂安全的系統(tǒng)分析員來設(shè)計開發(fā)電子商務(wù)系統(tǒng)，最后注定會失敗的很慘。

安全是一個很復(fù)雜的系統(tǒng)工程，從最初的制度策略的制定，到最后整個系統(tǒng)的implement，有很多環(huán)節(jié)。本文僅僅介紹構(gòu)造一個e-commerce服務(wù)器，來說明在Internet上放置一個可以安全運行的電子商務(wù)WEB服務(wù)器也不是那么的簡單。

二．Apache

　　為什么要選擇Apache？中小企業(yè)比較樂于接受較低的系統(tǒng)報價，UNIX的網(wǎng)管們也可以從技術(shù)上替我解釋這個問題。是的，相比于漏洞層出不迭的IIS來說，Apache在安全界享有良好的聲譽，但是一個默認安裝的Apache還是不夠。

1)      操作系統(tǒng)

Apache盡管發(fā)布了Windows、Linux、BSD家族和其他操作系統(tǒng)的版本，但毫無疑問的是，UNIX是最好的選擇。首先是遠程管理上的方便，同時SSH提供了遠程管理維護的加密通道。在系統(tǒng)性能上，UNIX類系統(tǒng)更加易于優(yōu)化配置。

2)      自身的漏洞

盡管Apache的內(nèi)核沒有太大的buffer overflows和exploits，但是在1.3.19以前的版本有一個mod_rewrite漏洞。建議安裝最新的版本1.3.20。

3)      外來的隱患

現(xiàn)在的電子商務(wù)網(wǎng)站內(nèi)容都不是靜態(tài)，而是動態(tài)生成的，所以需要額外的一些模塊，如Java（Jserv）、Perl（mod_perl）、PHP（mod_php）。這些模塊給Apache引入了安全隱患。如Windows平臺上的Apache+PHP存在目錄遍歷漏洞，UNIX平臺上，某些版本的Tomcat引擎（Java Servlets和JSP）也存在目錄遍歷、甚至泄露.jsp源代碼的漏洞。

　　Apache和其它軟件產(chǎn)品一樣，多多少少存在安全問題。我們不要在嘲笑IIS滿身窟窿同時，對Apache抱著100%的放心。一般情況下，有兩個因素導(dǎo)致軟件的不安全性：技術(shù)上和配置。如果網(wǎng)管們都能很好的配置服務(wù)器，相比之下，軟件中的一些BUG是很容易解決的。