防敏感信息泄漏是Web應用防火牆針對網安法提出的“網絡運營者應當采取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即采取補救措施,按照規定及時告知用戶並向有關主管部門報告”所給出的安全防護方案。
前提條件
說明 本文介紹的防敏感信息泄露功能不適用
2020年1月發布的新版控制台界面。如果您使用在此日期后開通的Web應用防火牆實例,請參見防敏感信息泄露。
- 按量付費開通的Web應用防火牆實例,必須在功能與規格設置中開啟網頁防篡改、敏感信息防泄露。更多信息,請參見功能與規格配置(按量付費模式)。
- 已完成網站接入。更多信息,請參見業務接入WAF配置。
背景信息
防敏感信息泄漏功能針對網站中存在的敏感信息(尤其是手機號、身份證、信用卡等信息)泄漏、敏感詞匯泄露提供脫敏和告警措施,並支持攔截指定的HTTP狀態碼。
網站中常見的造成信息泄漏的場景包括:
- URL未授權訪問(例如,網站管理后台未授權訪問)。
- 越權查看漏洞(例如,水平越權查看漏洞和垂直越權查看漏洞)。
- 網頁中的敏感信息被惡意爬蟲爬取。
針對網站中常見的敏感信息泄露場景,防敏感信息泄漏提供以下功能:
- 針對網站頁面中出現的個人隱私敏感數據進行檢測識別,並提供預警和屏蔽敏感信息等防護措施,避免網站經營數據泄露。這些敏感隱私數據包括但不限於身份證號、手機號、銀行卡號等。
- 針對有可能暴露網站所使用的Web應用軟件、操作系統類型,版本信息等服務器敏感信息,支持一鍵攔截,避免服務器敏感信息泄露。
- 根據內置的非法敏感關鍵詞庫,針對在網站頁面中出現的相關非法敏感詞,提供告警和非法關鍵詞屏蔽等防護措施。
防敏感信息泄露通過檢測響應頁面中是否帶有身份證號、手機號、銀行卡號等敏感信息,發現敏感信息匹配命中后,根據所設置的匹配動作進行告警或者過濾敏感信息。其中,敏感信息過濾動作以*號替換敏感信息部分,從而達到保護敏感信息的效果。
防敏感信息泄露功能支持的Content-Type包括text/*、image/*、application/*等,涵蓋Web端、app端和API接口。
操作步驟
- 定位到防敏感信息泄露配置區域,開啟狀態開關,並單擊前去配置。
- 單擊新增規則,添加敏感信息防護規則。
說明 在規則設置對話框中,您可以單擊 並且增加URL匹配條件實現對特定URL進行匹配檢測。
- 敏感信息過濾:針對網站頁面中可能存在的電話號碼和身份證等敏感信息,配置相應的規則對其進行過濾或告警。例如,您可以通過設置以下防護規則,過濾手機號和身份證號敏感信息。
配置該防護規則后,該網站域名中的所有頁面中的手機號和身份證號都會自動脫敏,效果如下圖所示。
說明 網站頁面中的商務合作電話、舉報電話等需要對外公開的手機號碼,也可能被所配置的手機號敏感信息過濾規則所過濾。 - 狀態碼攔截:針對特定的HTTP請求狀態碼,可配置規則將其攔截或者告警,避免服務器敏感信息泄露。例如,您可以通過設置以下防護規則,攔截HTTP 404狀態碼。
配置該防護規則后,當請求一個該網站域名中不存在的頁面時,返回特定攔截頁面,效果如下圖所示。
- 針對特定URL頁面中的敏感信息過濾:針對特定URL頁面中存在的電話號碼和身份證等敏感信息,配置相應的規則對其進行過濾或告警。例如,您可以通過設置以下防護規則,過濾admin.php頁面中的身份證號敏感信息。
配置該防護規則后,僅admin.php頁面中的身份證號信息被脫敏。
- 敏感信息過濾:針對網站頁面中可能存在的電話號碼和身份證等敏感信息,配置相應的規則對其進行過濾或告警。例如,您可以通過設置以下防護規則,過濾手機號和身份證號敏感信息。
- 成功添加規則后,您可以編輯或刪除規則。
后續步驟
啟用防敏感信息泄露后,您可以登錄雲盾Web應用防火牆控制台,前往