构建安全的e-commerce 服务器.pdfVIP

构建安全的 e-commerce 服务器 May 25, 2001 Sinbad Technical Publications Website: Copyright 2001, All Rights Reserved 一． Background 基于Internet 的网络经济 直吸引着人们的眼球，随着门户网站的局势已定， 现在又涌现出 批以“电子商务”命名的网络公司。相比之下，他们比较冷静 和谨慎。在企业级应用上，他们不仅仅满足于协助中小企业上网，更多的是想 提供一些电子商务的主打产品： 、 、 等，或者提供从 到 CRM ERP SCM IDC ASP 一条龙服务。 但是，就我所经历的情 来看，真正能埋头做产品的公司微乎其微。一是因为 投入太大，二是因为很难找到合适的市场定位。做方案和集成，无非是东拼西 凑，糊弄初级客户，完全没有自己的东西。那么，目前电子商务公司除了做 些网站建设和应用项目，还有哪些盈利点？依我所见，由于国内的电子商务环 境还不成熟，没有完整的信用体制和支付手段，在这个基础上，许多电子商务 活动都是很难开展的。客户的顾虑也很多，仅从安全性上考虑，比如你做ASP （应用服务提供商 ，客户很难接受与其他人共享 块硬盘，把数据交给你维 护更是忧心忡忡；辛辛苦苦开发出 套系统，放到网上，很轻易的被黑客窃取 了源代码，让人心痛；架在 个不堪 击系统上的应用，黑客篡改了页面和数 据，都很难向客户交待，影响了自己的声誉和进 步的业务合作。 这就体现出了安全的重要性。是的，安全和黑客技术是比较偏，有些搞软件开 发的人甚至对此嗤之以鼻，但是我们不能否认安全在电子商务中的基石作用， 不考虑安全和不懂安全的系统分析员来设计开发电子商务系统，最后注定会失 败的很惨。 安全是 个很复杂的系统工程，从最初的制度策略的制定，到最后整个系统的 implement，有很多环节。本文仅仅介绍构 个e-commerce 服务器，来说明 在Internet 上放置 个可以安全运行的电子商务WEB 服务器也不是那么的简 单。 二． Apache 为什么要选择Apache ？中小企业比较乐于接受较低的系统报价，UNIX 的网管 们也可以从技术上替我解释这个问题。是的，相比于漏洞层出不迭的IIS 来说， Apache 在安全界享有良好的声誉，但是 个默认安装的Apache 还是不够。 1) 操作系统 Sinbad Technical Publications Page 1 尽管发布了 、 、 家族和其他操作系统的版本，但毫 Apache Windows Linux BSD 无疑问的是，UNIX 是最好的选择。首先是远程管理上的方便，同时SSH 提供 了远程管理维护的加密通道。在系统性能上，UNIX 类系统更加易于优化配置。 2) 自身的漏洞 尽管Apache 的内核没有太大的buffer overflows 和exploits，但是在1.3.19 以 前的版本有 个mod_rewrite 漏洞。建议安装最新的版本1.3.20。 3) 外来的隐患 现在的电子商务网站内容都不是静态，而是动态生成的，所以需要额外的一些 模块，如Java （Jserv 、Perl （mod_perl 、PHP （mod_php 。这些模块给Apache 引入了安全隐患。如Windows 平台上的Apache+PHP 存在目录遍历漏洞，UNIX 平台上，某些版本的Tomcat 引擎 （Java Servlets 和JSP 也存在目录遍历、甚 至泄露 源代码的漏洞。 .jsp Apache 和其它软件产品 样，多多少少存在安全问题。我们不要在嘲