设置防敏感信息泄露

网站接入Web应用防火墙(Web Application Firewall,简称WAF)后,您可以为其开启防敏感信息泄露功能。防敏感信息泄露帮助网站过滤服务器返回内容(异常页面或关键字)中的敏感信息(包含身份证号、手机电话号码、银行卡号、敏感词汇),脱敏展示敏感信息或返回默认异常响应页面。

重要

防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式(例如,身份证号、手机电话号码、银行卡号),暂不支持处理中国境外的身份证号、手机电话号码、银行卡号等数据格式。

前提条件

  • 已开通WAF实例,且实例满足以下要求:

    • 包年包月实例:

      • 如果实例地域是中国内地,则实例版本必须是高级版及以上规格。

      • 如果实例地域是,则实例版本必须是企业版及以上规格。

    • 按量计费实例:已在账单与套餐中心,开启数据安全模块下防敏感信息泄露功能。更多信息,请参见账单与套餐中心(按量2.0版本)

  • 已完成网站接入。具体操作,请参见使用教程

背景信息

防敏感信息泄露功能是Web应用防火墙针对《网络安全法》提出的“网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。防敏感信息泄露针对网站中存在的敏感信息(尤其是手机电话号码、身份证、信用卡)泄露、敏感词汇泄露提供脱敏和告警措施,并支持拦截指定的HTTP状态码。

功能特性

网站中造成信息泄露的常见场景包括URL未授权访问(例如,网站管理后台未授权访问)、越权查看漏洞(例如,水平越权查看漏洞和垂直越权查看漏洞)、网页中的敏感信息被恶意爬虫爬取。针对网站中常见的敏感信息泄露场景,防敏感信息泄露提供以下功能:

  • 检测识别网站页面中出现的个人隐私敏感数据,并提供预警和屏蔽敏感信息等防护措施,避免网站经营数据泄露。这些敏感隐私数据包括但不限于身份证号、手机电话号码、银行卡号。

    重要

    防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式(例如,身份证号、手机电话号码、银行卡号),暂不支持处理中国境外的身份证号、手机电话号码、银行卡号等数据格式。

  • 针对有可能暴露网站所使用的Web应用软件、操作系统类型,版本信息等服务器敏感信息,支持一键拦截,避免服务器敏感信息泄露。

  • 根据内置的非法敏感关键词库,检测在网站页面中出现的相关非法敏感词,提供告警和非法关键词屏蔽等防护措施。

工作原理

防敏感信息泄露按照配置好的防护规则,检测响应页面中是否带有身份证号、手机电话号码、银行卡号等敏感信息,并在发现敏感信息匹配命中后,根据规则中指定的匹配动作触发告警或者敏感信息过滤。敏感信息过滤动作指以*号替换敏感信息部分,达到保护敏感信息的效果。

防敏感信息泄露功能支持的Content-Type包括text/*image/*application/*等,涵盖Web端、App端和API接口。

操作步骤

  1. 登录Web应用防火墙控制台,在顶部菜单栏,选择WAF实例的资源组和地域(中国内地非中国内地)。

  2. 在左侧导航栏,选择防护配置 > 网站防护

  3. 网站防护页面上方,切换到要设置的域名。切换域名

  4. 单击Web安全页签,定位到防敏感信息泄露区域,开启状态开关并单击前去配置

    重要
    • 您必须先开启防敏感信息泄露,才能设置防护规则。

    • 防敏感信息泄露开启后,所有网站请求默认都会经过防敏感信息泄露规则的检测。您可以通过设置数据安全白名单,让满足条件的请求忽略防敏感信息泄露规则的检测。更多信息,请参见设置数据安全白名单

  5. 新增防敏感信息泄露规则。

    1. 防敏感信息泄露页面,单击新增规则

    2. 新建规则对话框,完成以下规则配置。

      配置项

      说明

      规则名称

      为规则命名。

      匹配条件

      定义要在请求响应中检测的敏感信息类型,可选值:

      • 响应码:400、401、402、403、404、500、501、502、503、504、405-499、505-599

      • 敏感信息身份证信用卡电话号码默认敏感词

      重要

      防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式(例如,身份证号、手机电话号码、银行卡号),暂不支持处理中国境外的身份证号、手机电话号码、银行卡号等数据格式。

      您可以指定检测响应码、敏感信息分类下的一种或多种类型。

      如果选中并且,则可以进一步指定要检测的URL,即只在指定的页面中检测敏感信息。

      匹配动作

      定义在请求响应中检测到敏感信息后执行的操作。

      • 匹配条件为响应码时,支持以下匹配动作:

        • 告警:触发敏感信息泄露告警通知。

        • 拦截:阻断访问请求,并返回默认的屏蔽提示页面。

      • 匹配条件为敏感信息时,支持以下匹配动作:

        • 告警:触发敏感信息泄露告警通知。

        • 敏感信息过滤:脱敏请求响应中的敏感信息。

      规则配置示例

      • 敏感信息过滤:针对网站页面中可能存在的手机电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以设置以下防护规则,过滤手机电话号码和身份证号敏感信息。

        • 匹配条件:敏感信息包含身份证、手机电话号码。

        • 匹配动作:敏感信息过滤。

        应用该规则后,则网站中的所有页面的手机电话号码和身份证号都会自动脱敏,效果如下图所示。

        重要

        网站页面中的商务合作电话、举报电话等需要对外公开的手机电话号码,也可能被手机电话号码敏感信息过滤规则过滤。

        敏感信息过滤示意

      • 状态码拦截:针对特定的HTTP请求状态码,配置规则将其拦截或者告警,避免服务器敏感信息泄露。例如,您可以设置以下防护规则,拦截HTTP 404状态码。

        • 匹配条件:响应码包含404。

        • 匹配动作:拦截。

        应用该规则后,当请求一个该网站中不存在的页面时,返回特定拦截页面,效果如下图所示。状态码拦截示意

      • 针对特定URL页面中的敏感信息过滤:针对特定URL页面中存在的手机电话号码和身份证等敏感信息,配置相应的规则对其进行过滤或告警。例如,您可以设置以下防护规则,过滤admin.php页面中的身份证号敏感信息。

        • 匹配条件:敏感信息包含身份证,并且URL包含admin.php

        • 匹配动作:敏感信息过滤。

        应用该规则后,仅admin.php页面中的身份证号信息被自动脱敏。

    3. 单击确定

      成功添加防敏感信息泄露规则后,规则自动生效。您可以在规则列表中查看新建的规则,并根据需要编辑或删除规则。

后续步骤

开启防敏感信息泄露后,您可以在安全报表页面,通过Web安全 > 防敏感信息泄露报表,查询触发防敏感信息泄露规则被过滤或拦截的访问请求的日志。更多信息,请参见WAF安全报表