大约十年之前，电子商务开始在我国的互联网市场上兴起，各类B2C、C2C和B2B网站如雨后春笋般相继成立。经过时间的考验，大浪淘沙，包括淘宝、阿里巴巴、当当等在内的有实力的电子商务网站热度依然；而以京东商城为代表的后起之秀则通过引入货到付款等手段与前者进行竞争抢占市场份额。随着近年来智能手机技术的不断进步，电子商务向移动商务方向转移的趋势也越来越强。不管是电子商务还是移动商务，安全性都是重中之重，这也是本书《Web商务安全设计与开发宝典》探讨的重点。

试读了书中的第二、五和九章，感觉还是看到了一些新的东西。第二章主要为我们介绍了移动商务的情况，针对的例子自然是作者所在的美国。从美国移动商务的发展情况来看，的确是走在了世界的前列。作者在本章的前半部分希望通过几组数据和图表说明这样一个情况：在美国，移动商务将逐渐成为电子商务的主力军。其实中国的情况也差不多，大约两年前中国移动就推出了手机钱包、手机支付等业务，而支付宝等平台也于更早就推出了手机客户端。只不过当时我国的移动互联网并不发达，限制了移动商务的发展。根据最新数据显示，中国的手机接入互联网的网民数量已经逼近4亿，相信在不久的将来移动商务将在中国出现井喷的局面。回到书中内容，本章随后介绍了移动商务与传统的电子商务存在的一些区别可能会导致安全设计上的不同。与个人电脑相比，移动终端屏幕更小，输入设备一般是若干按键或触摸屏，能耗要求更高，多种设备提供商多种操作系统但互不兼容…这些区别之处使得移动商务的安全设计要有别于传统的电子商务，例如可能要考虑更多的安全验证，应用程序要更多地建立在“瘦客户端”模型基础之上等等。在本章的最后，作者还花了一些篇幅介绍了移动技术中的蜂窝网络以及不同的移动平台（以Android、黑莓、iPhone和Symbian为例，文中称为栈）的各自特点，从根源上分析不同平台采用不同安全策略的原因。

第五章从技术角度讲解了电子商务安全策略得以实施的基础。前半部分主要讲了加密技术，是很经典的密码学的内容，包括两种不同的加密体系——对称体系和非对称体系。较早的加密算法一般采用对称体系，如凯撒密码、DES、AES等；而现代的加密算法则通常采用非对称体系，也称为公钥体系，如RSA、离散对数等。这里面RSA非常重要，对于理解后面的数字证书起着关键的作用。随后本章介绍的数字签名则依赖于算法学中的散列函数。本章的后半部分介绍了访问控制和系统硬化，是服务器安全级减少威胁、降低风险的重要手段。这一章属于技术要点，个人觉得具有较高的阅读价值。

第九章是全书最后一章，主要讲述了一些安全认证的标准，如ISO/IEC 15408、NIACAP和FISMA等，这些标准被用来对一些电子商务机构进行安全评级及成熟度测试，其实相当于辅助电商提高安全性。这方面看来美国做得相当不错，而中国则基本看不到成熟的评级机构，运作上自然也没什么标准，是电子商务领域的一大短板，应该引起专业人士的重视。

说到这里，不由得使我们想起中国电子商务吞吐量随季节变化最大的网站——12306。该网站绝对是一个奇葩，在某些时段，如国庆节、春季，网站的点击量每日数以亿计，超过了各大电商；但其他时候则反应平平，对其有好感的人不多。网站在高峰期运行缓慢，登陆极其困难，此时便有各种技术宅推出了代理登录及刷票的方法。其实这本身就反映出网站安全性做的不到位的地方，今年十一该网站改变了策略，引入排队机制，看似解决了刷票等的安全问题，却带来了用户苦等的新问题。另外之前铁道部承诺推出手机购票的设想至今也石沉大海，想必各方筹备还不完善，不敢草草上线。其实这在某种程度上也许不是坏事，毕竟测试不充分的应用安全性得不到保证，最终损害的还是消费者利益。其实网民的抱怨也是希望促进服务质量的提升，但愿相关人士能够本着安全性与实用性并重的原则，让火车票这种最需要电子商务化的商品不再那么难买。