网站接入Web应用防火墙WAF(Web Application Firewall)后,您可以为其开启防敏感信息泄露功能。防敏感信息泄露帮助网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(包含身份证号、电话号码、银行卡号、敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。
注意 防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式(例如,身份证号、电话号码、银行卡号),暂不支持处理中国境外的身份证号、电话号码、银行卡号等数据格式。
前提条件
- 已开通WAF实例,且实例满足以下要求:
- 包年包月实例:
- 如果实例地域是中国内地,则实例版本必须是高级版及以上规格。
- 如果实例地域是非中国内地,则实例版本必须是企业版及以上规格。
更多信息,请参见开通包年包月WAF。
- 按量计费实例:已在账单与套餐中心,开启数据安全模块下防敏感信息泄露功能。更多信息,请参见账单与套餐中心(按量2.0版本)。
- 包年包月实例:
- 已完成网站接入。具体操作,请参见网站接入概述。
背景信息
防敏感信息泄漏功能是Web应用防火墙针对《网络安全法》提出的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。防敏感信息泄漏针对网站中存在的敏感信息(尤其是电话号码、身份证、信用卡)泄漏、敏感词汇泄露提供脱敏和告警措施,并支持拦截指定的HTTP状态码。
功能特性
网站中造成信息泄漏的常见场景包括URL未授权访问(例如,网站管理后台未授权访问)、越权查看漏洞(例如,水平越权查看漏洞和垂直越权查看漏洞)、网页中的敏感信息被恶意爬虫爬取。针对网站中常见的敏感信息泄露场景,防敏感信息泄漏提供以下功能:
工作原理- 检测识别网站页面中出现的个人隐私敏感数据,并提供预警和屏蔽敏感信息等防护措施,避免网站经营数据泄露。这些敏感隐私数据包括但不限于身份证号、电话号码、银行卡号。
注意 防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式(例如,身份证号、电话号码、银行卡号),暂不支持处理中国境外的身份证号、电话号码、银行卡号等数据格式。
- 针对有可能暴露网站所使用的Web应用软件、操作系统类型,版本信息等服务器敏感信息,支持一键拦截,避免服务器敏感信息泄露。
- 根据内置的非法敏感关键词库,检测在网站页面中出现的相关非法敏感词,提供告警和非法关键词屏蔽等防护措施。
防敏感信息泄露按照配置好的防护规则,检测响应页面中是否带有身份证号、电话号码、银行卡号等敏感信息,并在发现敏感信息匹配命中后,根据规则中指定的匹配动作触发告警或者敏感信息过滤。敏感信息过滤动作指以*号替换敏感信息部分,达到保护敏感信息的效果。
防敏感信息泄露功能支持的Content-Type包括text/*
、image/*
、application/*
等,涵盖Web端、App端和API接口。