一．Background

基于Internet的網絡經濟一直吸引著人們的眼球，隨著門戶網站的局勢已定，現在又涌現出一批以“電子商務”命名的網絡公司。相比之下，他們比較冷靜和謹慎。在企業級應用上，他們不僅僅滿足于協助中小企業上網，更多的是想提供一些電子商務的主打產品：CRM、ERP、SCM等，或者提供從IDC到ASP一條龍服務。 

但是，就我所經歷的情況來看，真正能埋頭做產品的公司微乎其微。一是因為投入太大，二是因為很難找到合適的市場定位。做方案和集成，無非是東拼西湊，糊弄初級客戶，完全沒有自己的東西。那么，目前電子商務公司除了做一些網站建設和應用項目，還有哪些盈利點？依我所見，由于國內的電子商務環境還不成熟，沒有完整的信用體制和支付手段，在這個基礎上，許多電子商務活動都是很難開展的。客戶的顧慮也很多，僅從安全性上考慮，比如你做ASP（應用服務提供商），客戶很難接受與其他人共享一塊硬盤，把數據交給你維護更是憂心忡忡；辛辛苦苦開發出一套系統，放到網上，很輕易的被黑客竊取了源代碼，讓人心痛；架在一個不堪一擊系統上的應用，黑客篡改了頁面和數據，都很難向客戶交待，影響了自己的聲譽和進一步的業務合作。 

這就體現出了安全的重要性。是的，安全和黑客技術是比較偏，有些搞軟件開發的人甚至對此嗤之以鼻，但是我們不能否認安全在電子商務中的基石作用，不考慮安全和不懂安全的系統分析員來設計開發電子商務系統，最后注定會失敗的很慘。

安全是一個很復雜的系統工程，從最初的制度策略的制定，到最后整個系統的implement，有很多環節。本文僅僅介紹構造一個e-commerce服務器，來說明在Internet上放置一個可以安全運行的電子商務WEB服務器也不是那么的簡單。

二．Apache

　　為什么要選擇Apache？中小企業比較樂于接受較低的系統報價，UNIX的網管們也可以從技術上替我解釋這個問題。是的，相比于漏洞層出不迭的IIS來說，Apache在安全界享有良好的聲譽，但是一個默認安裝的Apache還是不夠。

1)      操作系統

Apache盡管發布了Windows、Linux、BSD家族和其他操作系統的版本，但毫無疑問的是，UNIX是最好的選擇。首先是遠程管理上的方便，同時SSH提供了遠程管理維護的加密通道。在系統性能上，UNIX類系統更加易于優化配置。

2)      自身的漏洞

盡管Apache的內核沒有太大的buffer overflows和exploits，但是在1.3.19以前的版本有一個mod_rewrite漏洞。建議安裝最新的版本1.3.20。

3)      外來的隱患

現在的電子商務網站內容都不是靜態，而是動態生成的，所以需要額外的一些模塊，如Java（Jserv）、Perl（mod_perl）、PHP（mod_php）。這些模塊給Apache引入了安全隱患。如Windows平臺上的Apache+PHP存在目錄遍歷漏洞，UNIX平臺上，某些版本的Tomcat引擎（Java Servlets和JSP）也存在目錄遍歷、甚至泄露.jsp源代碼的漏洞。

　　Apache和其它軟件產品一樣，多多少少存在安全問題。我們不要在嘲笑IIS滿身窟窿同時，對Apache抱著100%的放心。一般情況下，有兩個因素導致軟件的不安全性：技術上和配置。如果網管們都能很好的配置服務器，相比之下，軟件中的一些BUG是很容易解決的。