全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
Web 应用防火墙

防敏感信息泄露

更新时间:2018-02-24 16:00:48

防敏感信息泄漏功能,是Web应用防火墙针对网安法提出的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出对应的安全防护方案。

说明: 使用防敏感信息泄漏功能,您需要升级Web应用防火墙至企业版或以上版本。

功能概述

网站中存在的常见造成信息泄漏的场景包括:

  • URL未授权访问(例如,网站管理后台未授权访问)。
  • 越权查看漏洞(例如,水平越权查看漏洞和垂直越权查看漏洞)。
  • 网页中的敏感信息被恶意爬虫爬取。

防敏感信息泄漏功能针对网站中存在的敏感信息(尤其是手机号、身份证、信用卡等信息)泄漏、敏感词汇泄露提供脱敏和告警措施,并支持拦截指定的HTTP状态码。

针对网站中常见的敏感信息泄露场景,防敏感信息泄漏提供以下功能:

  • 针对网站页面中出现个人隐私敏感数据进行检测识别,并提供预警和屏蔽敏感信息等防护措施,避免网站经营数据泄露。这些敏感隐私数据包括但不限于身份证号、手机号、银行卡号等。
  • 针对有可能暴露出网站所使用的Web应用软件、操作系统类型,版本信息等服务器敏感信息,支持一键拦截,避免服务器敏感信息泄露。
  • 根据内置的非法敏感关键词库,针对在网站页面中出现的相关非法敏感词,提供告警和非法关键词屏蔽等防护措施。

防敏感信息泄露功能支持的Content-Type包括text/*image/*application/*等,涵盖Web端、app端和API接口。

工作原理

防敏感信息泄露功能通过检测响应页面中是否带有身份证号、手机号、银行卡号等敏感信息,发现敏感信息匹配命中后,根据所设置的匹配动作进行告警或者是敏感信息过滤。

其中,敏感信息过滤动作将会以*号替换敏感信息部分,从而达到保护敏感信息的效果。

操作步骤

  1. 登录云盾Web应用防火墙管理控制台

  2. 定位到管理>网站配置,选择地域。

  3. 选择已接入防护的网站域名,单击防护配置

  4. 启用防敏感信息泄露功能项,单击前去配置

    防护配置

  5. 单击新增规则,添加敏感信息防护规则。

    说明: 在规则设置对话框中,您可以单击并且增加URL匹配条件实现对特定URL进行匹配检测。

    • 敏感信息过滤

      针对网站页面中可能存在的电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以通过设置以下防护规则,过滤手机号和身份证号敏感信息。

      敏感信息过滤规则

      防护效果

      配置该防护规则后,该网站域名中的所有页面中的手机号和身份证号都会自动脱敏。

      敏感信息过滤效果

      警告: 网站页面中的商务合作电话、举报电话等需要对外公开的手机号码,也可能被所配置的手机号敏感信息过滤规则所过滤。

    • 状态码拦截

      针对特定的HTTP请求状态码,可配置规则将其拦截或者告警,避免服务器敏感信息泄露。例如,您可以通过设置以下防护规则,拦截HTTP 404状态码。

      状态码拦截规则

      防护效果

      配置该防护规则后,当请求一个该网站域名中不存在的页面时,返回特定拦截页面。

      状态码拦截效果

    • 针对特定URL页面中的敏感信息过滤

      针对特定URL页面中存在的电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以通过设置以下防护规则,过滤admin.php页面中的身份证号敏感信息。

      针对特定URL中敏感信息过滤规则

      配置该防护规则后,仅admin.php页面中的身份证号信息被脱敏。

启用防敏感信息泄露功能后,您可以在云盾Web应用防火墙管理控制台>统计>安全报表页面中的Web应用攻击报表,查询被防敏感信息泄露规则过滤或拦截的访问请求日志。

本文导读目录