EnableQ在线问卷调查引擎官方网站:概述 - 安全性考虑
     首页   
概述
特性
下载
购买
案例
研究
新闻
社区
试用
您现在的位置:首页 >> 概述 >> 概览 >> 安全性考虑
概述
      概览
        EnableQ历程
        应用场景
        支撑环境
        安全性考虑
        资格认证
        RELEASE NOTES
      相关
        EnableQ样卷
        相关知识

安全性考虑


前述

我们都知道,EnableQ在线问卷调查引擎是一款Web应用程序,它需要依赖于基础的操作系统软件、Web服务器系统以及数据库系统软件而运行,所以就安全而言,EnableQ无法解决系统级和网络级的安全问题。但EnableQ在自身应用安全性方面做了周到细致的考虑。


关于系统部署安全

从目前EnableQ已经部署的成功案例看来,相比而言,部署在非Windows操作系统比部署在Windows系统上安全和性能上更好。对于部署环境,我们推荐Linux操作系统/Apache 2.x/Mysql 5.X。


关于系统登录和用户账户安全

1) 不可逆的用户密码保护

EnableQ的用户以及调查样本的登录密码全部采用不可逆的方式在关系性数据库中保存。即便数据库管理员能够查看到数据库中的记录,也无法得到用户登录密码。

2) 用户登录页面的防刷新处理

EnableQ系统的登录页面为防止用户进行不良刷新或外挂程序进行口令攻击,EnableQ不仅不允许5秒内再次刷新该页面,并把重复刷新50次以上的IP地址进行系统屏蔽。

3) 用户登录密码的加密传输

在系统登录界面中用户输入的密码EnableQ采用加密方式传输到服务器中与服务器中加密的数据进行比较,这样有效地防止了用户密码明文传输被人窃取的可能。

4) 记录不良登录行为并屏蔽IP地址

同样为防止不法用户对系统身份认证进行手工猜测或外挂程序攻击,EnableQ将所有用户名正确而用户口令不正确的登录行为全部记录在案,并对一并5次登录不成功的用户IP地址进行屏蔽。

5) 可定义仅允许一个或多个IP段登录管理

对于拥有静态IP地址或在局域网内使用EnableQ的用户,最为安全的措施是,可在EnableQ定义仅允许一个或多个IP地址段内的用户进行登录管理。不在允许列表内的IP地址来源,登录行为本身就是被禁止的。


关于问卷数据回复安全

6) 回复问卷的防SQL注入处理

EnableQ生成的问卷页面全部已做防SQL注入处理,对于系统攻击,EnableQ以及安装EnableQ系统的主机上的其他应用是安全的。

7) 回复数据的加密存储

EnableQ对于样本回复的数据是加密存储的关系型数据库表中,即便有黑客攻破数据库系统,获得问卷的回复数据,离开EnableQ系统软件,也是无法解读的。

8) 数据导出等特定功能的安全

EnableQ为保障像问卷回复数据的数据统计分析、问卷详细数据的导出等问卷关键数据的安全操作,EnableQ提供了更安全的增强手段。

9) 问卷的归档整理本身就是一种安全手段

当问卷结束之后,EnableQ允许对问卷进行归档整理,与问卷相关的所有数据,包含问卷问题、问卷的统计分析结果以及回复数据详细等重要数据将从数据库中全部删除,并形成压缩的物理文件允许客户下载保存。

10) 问卷可生成静态页面并在静态页面内提交

EnableQ为“公开”类型的问卷提供生成静态页面功能,并可允许您在生成的页面再进行页面编辑,并可把此页面文件放置在可访问的任意地方。这一方面既保证了问卷的访问和提交性能,另一方面即可提高EnableQ服务器的安全性。

11) 问卷可设置屏蔽同一IP地址的重复提交

EnableQ允许您设置是否开启屏蔽同一IP地址的重复提交,对于“私有”问卷,同一通行证身份EnableQ仅允许对问卷提交一次,这既保证了问卷数据的有效性,也防止来自外挂程序攻击的功能。

12) 图形检验码防止机器人进行问卷提交

新的图形检验码功能以防止机器人对问卷进行回复,即防止大规模的机器刷票等行为。


关于系统操作安全

13) 记录完整的操作和管理日志

EnableQ记录所有用户的详尽的操作和管理日志,系统管理员可查看到所有用户的行为日志,而普通用户仅能查阅到自身。


关于EnableQ系统程序自身安全

14) 入口程序的权限认证

为防止客户使用查看源代码方式获得在EnableQ系统的非法操作,系统所有逻辑均包含权限认证入口程序。非法的操作不仅无法通过系统界面获得,即便是手工的URL输入,也是无法通过的。

15) 程序内部之间的安全通信

EnableQ系统之间涉及到的程序通信采用在SESSION内记录特殊识别码来保障数据交换的安全。

16) 为防止Web服务器开启目录访问的程序目录组织

为防止部分服务器开启目录访问,部分网络访问者可通过此探测到程序的物理目录存储结构,以便寻找漏洞或下载特殊资源,EnableQ系统的物理存储结构均针对此作了特别处理。

17) EnableQ与第3方接口程序的安全通信

为保障EnableQ开放的接口规范与第3方接口程序的通信或数据交换安全,EnableQ采用以产品序列号为基准作为安全特殊识别码。而产品序列号为6组6位随机数字组成,并且每次安装过程均不同,并只能以系统管理员身份登录到系统中才能查看。

18) 支持数据库级的备份与恢复

除了利用数据库系统本身的数据备份与回复功能之外,EnableQ系统也提供对系统所有数据库表的备份与恢复。


 
© 2010-2016年 北京科维能动信息技术有限公司.  版权所有(京ICP备05065844号,京公海网安备110108000330号) 电话:010-84277086