網站接入Web應用防火墻(Web Application Firewall,簡稱WAF)后,您可以為其開啟防敏感信息泄露功能。防敏感信息泄露幫助網站過濾服務器返回內容(異常頁面或關鍵字)中的敏感信息(包含身份證號、手機電話號碼、銀行卡號、敏感詞匯),脫敏展示敏感信息或返回默認異常響應頁面。
防敏感信息泄露功能目前僅支持處理中華人民共和國境內使用的數據格式(例如,身份證號、手機電話號碼、銀行卡號),暫不支持處理中國境外的身份證號、手機電話號碼、銀行卡號等數據格式。
前提條件
已開通WAF實例,且實例滿足以下要求:
包年包月實例:
如果實例地域是中國內地,則實例版本必須是高級版及以上規格。
如果實例地域是,則實例版本必須是企業版及以上規格。
按量計費實例:已在賬單與套餐中心,開啟數據安全模塊下防敏感信息泄露功能。更多信息,請參見賬單與套餐中心(按量2.0版本)。
已完成網站接入。具體操作,請參見使用教程。
背景信息
防敏感信息泄露功能是Web應用防火墻針對《網絡安全法》提出的“網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶并向有關主管部門報告”所給出的安全防護方案。防敏感信息泄露針對網站中存在的敏感信息(尤其是手機電話號碼、身份證、信用卡)泄露、敏感詞匯泄露提供脫敏和告警措施,并支持攔截指定的HTTP狀態碼。
功能特性
網站中造成信息泄露的常見場景包括URL未授權訪問(例如,網站管理后臺未授權訪問)、越權查看漏洞(例如,水平越權查看漏洞和垂直越權查看漏洞)、網頁中的敏感信息被惡意爬蟲爬取。針對網站中常見的敏感信息泄露場景,防敏感信息泄露提供以下功能:
檢測識別網站頁面中出現的個人隱私敏感數據,并提供預警和屏蔽敏感信息等防護措施,避免網站經營數據泄露。這些敏感隱私數據包括但不限于身份證號、手機電話號碼、銀行卡號。
重要防敏感信息泄露功能目前僅支持處理中華人民共和國境內使用的數據格式(例如,身份證號、手機電話號碼、銀行卡號),暫不支持處理中國境外的身份證號、手機電話號碼、銀行卡號等數據格式。
針對有可能暴露網站所使用的Web應用軟件、操作系統類型,版本信息等服務器敏感信息,支持一鍵攔截,避免服務器敏感信息泄露。
根據內置的非法敏感關鍵詞庫,檢測在網站頁面中出現的相關非法敏感詞,提供告警和非法關鍵詞屏蔽等防護措施。
工作原理
防敏感信息泄露按照配置好的防護規則,檢測響應頁面中是否帶有身份證號、手機電話號碼、銀行卡號等敏感信息,并在發現敏感信息匹配命中后,根據規則中指定的匹配動作觸發告警或者敏感信息過濾。敏感信息過濾動作指以*號替換敏感信息部分,達到保護敏感信息的效果。
防敏感信息泄露功能支持的Content-Type包括text/*
、image/*
、application/*
等,涵蓋Web端、App端和API接口。
操作步驟
登錄Web應用防火墻控制臺,在頂部菜單欄,選擇WAF實例的資源組和地域(中國內地、非中國內地)。
在左側導航欄,選擇 。
在網站防護頁面上方,切換到要設置的域名。
單擊Web安全頁簽,定位到防敏感信息泄露區域,開啟狀態開關并單擊前去配置。
重要您必須先開啟防敏感信息泄露,才能設置防護規則。
防敏感信息泄露開啟后,所有網站請求默認都會經過防敏感信息泄露規則的檢測。您可以通過設置數據安全白名單,讓滿足條件的請求忽略防敏感信息泄露規則的檢測。更多信息,請參見設置數據安全白名單。
新增防敏感信息泄露規則。
在防敏感信息泄露頁面,單擊新增規則。
在新建規則對話框,完成以下規則配置。
配置項
說明
規則名稱
為規則命名。
匹配條件
定義要在請求響應中檢測的敏感信息類型,可選值:
響應碼:400、401、402、403、404、500、501、502、503、504、405-499、505-599
敏感信息:身份證、信用卡、電話號碼、默認敏感詞
重要防敏感信息泄露功能目前僅支持處理中華人民共和國境內使用的數據格式(例如,身份證號、手機電話號碼、銀行卡號),暫不支持處理中國境外的身份證號、手機電話號碼、銀行卡號等數據格式。
您可以指定檢測響應碼、敏感信息分類下的一種或多種類型。
如果選中并且,則可以進一步指定要檢測的URL,即只在指定的頁面中檢測敏感信息。
匹配動作
定義在請求響應中檢測到敏感信息后執行的操作。
匹配條件為響應碼時,支持以下匹配動作:
告警:觸發敏感信息泄露告警通知。
攔截:阻斷訪問請求,并返回默認的屏蔽提示頁面。
匹配條件為敏感信息時,支持以下匹配動作:
告警:觸發敏感信息泄露告警通知。
敏感信息過濾:脫敏請求響應中的敏感信息。
規則配置示例
敏感信息過濾:針對網站頁面中可能存在的手機電話號碼和身份證等敏感信息,配置相應的規則對其進行過濾或告警。例如,您可以設置以下防護規則,過濾手機電話號碼和身份證號敏感信息。
匹配條件:敏感信息包含身份證、手機電話號碼。
匹配動作:敏感信息過濾。
應用該規則后,則網站中的所有頁面的手機電話號碼和身份證號都會自動脫敏,效果如下圖所示。
重要網站頁面中的商務合作電話、舉報電話等需要對外公開的手機電話號碼,也可能被手機電話號碼敏感信息過濾規則過濾。
狀態碼攔截:針對特定的HTTP請求狀態碼,配置規則將其攔截或者告警,避免服務器敏感信息泄露。例如,您可以設置以下防護規則,攔截HTTP 404狀態碼。
匹配條件:響應碼包含404。
匹配動作:攔截。
應用該規則后,當請求一個該網站中不存在的頁面時,返回特定攔截頁面,效果如下圖所示。
針對特定URL頁面中的敏感信息過濾:針對特定URL頁面中存在的手機電話號碼和身份證等敏感信息,配置相應的規則對其進行過濾或告警。例如,您可以設置以下防護規則,過濾
admin.php
頁面中的身份證號敏感信息。匹配條件:敏感信息包含身份證,并且URL包含
admin.php
。匹配動作:敏感信息過濾。
應用該規則后,僅admin.php頁面中的身份證號信息被自動脫敏。
單擊確定。
成功添加防敏感信息泄露規則后,規則自動生效。您可以在規則列表中查看新建的規則,并根據需要編輯或刪除規則。
后續步驟
開啟防敏感信息泄露后,您可以在安全報表頁面,通過Web安全 > 防敏感信息泄露報表,查詢觸發防敏感信息泄露規則被過濾或攔截的訪問請求的日志。更多信息,請參見WAF安全報表。