網站接入Web Application Firewall(Web Application Firewall,簡稱WAF)後,您可以為其開啟防敏感資訊泄露功能。防敏感資訊泄露協助網站過濾伺服器返回內容(異常頁面或關鍵字)中的敏感資訊(包含社會安全號碼、手機電話號碼、銀行卡號、禁用語),脫敏展示敏感資訊或返回預設異常響應頁面。
防敏感資訊泄露功能目前僅支援處理中華人民共和國境內使用的資料格式(例如,社會安全號碼、手機電話號碼、銀行卡號),暫不支援處理中國境外的社會安全號碼、手機電話號碼、銀行卡號等資料格式。
前提條件
已開通WAF執行個體,且執行個體滿足以下要求:
如果執行個體地區是中国内地,則執行個體版本必須是進階版及以上規格。
如果執行個體地區是非中国内地,則執行個體版本必須是企業版及以上規格。
已完成網站接入。具體操作,請參見使用教程。
背景資訊
防敏感資訊泄露功能是Web Application Firewall針對《網路安全法》提出的“網路營運者應當採取技術措施和其他必要措施,確保其收集的個人資訊安全,防止資訊泄露、毀損、丟失。在發生或者可能發生個人資訊泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知使用者並向有關主管部門報告”所給出的安全防護方案。防敏感資訊泄露針對網站中存在的敏感資訊(尤其是手機電話號碼、身份證、信用卡)泄露、禁用語泄露提供脫敏和警示措施,並支援攔截指定的HTTP狀態代碼。
功能特性
網站中造成資訊泄露的常見情境包括URL未授權訪問(例如,網站管理後台未授權訪問)、越權查看漏洞(例如,水平越權查看漏洞和垂直越權查看漏洞)、網頁中的敏感資訊被惡意爬蟲爬取。針對網站中常見的敏感資訊泄露情境,防敏感資訊泄露提供以下功能:
檢測識別網站頁面中出現的個人隱私敏感性資料,並提供預警和屏蔽敏感資訊等防護措施,避免網站經營資料泄露。這些敏感隱私資料包括但不限於社會安全號碼、手機電話號碼、銀行卡號。
重要防敏感資訊泄露功能目前僅支援處理中華人民共和國境內使用的資料格式(例如,社會安全號碼、手機電話號碼、銀行卡號),暫不支援處理中國境外的社會安全號碼、手機電話號碼、銀行卡號等資料格式。
針對有可能暴露網站所使用的Web應用軟體、作業系統類型,版本資訊等伺服器敏感資訊,支援一鍵攔截,避免伺服器敏感資訊泄露。
根據內建的非法敏感關鍵詞庫,檢測在網站頁面中出現的相關非法敏感詞,提供警示和非法關鍵詞屏蔽等防護措施。
工作原理
防敏感資訊泄露按照配置好的防護規則,檢測響應頁面中是否帶有社會安全號碼、手機電話號碼、銀行卡號等敏感資訊,並在發現敏感資訊匹配命中後,根據規則中指定的匹配動作觸發警示或者敏感資訊過濾。敏感資訊過濾動作指以*號替換敏感資訊部分,達到保護敏感資訊的效果。
防敏感資訊泄露功能支援的Content-Type包括text/*、image/*、application/*等,涵蓋Web端、App端和API介面。
操作步驟
登入Web Application Firewall控制台,在頂部功能表列,選擇WAF執行個體的資源群組和地區(中國內地、非中國內地)。
在左側導覽列,選擇。
在網站防護頁面上方,切換到要設定的網域名稱。
單擊Web安全頁簽,定位到防敏感資訊泄露地區,開啟狀態開關並單擊前去配置。
重要您必須先開啟防敏感資訊泄露,才能設定防護規則。
防敏感資訊泄露開啟後,所有網站請求預設都會經過防敏感資訊泄露規則的檢測。您可以通過設定資料安全白名單,讓滿足條件的請求忽略防敏感資訊泄露規則的檢測。更多資訊,請參見設定資料安全白名單。
新增防敏感資訊泄露規則。
在防敏感資訊泄露頁面,單擊新增規則。
在建立規則對話方塊,完成以下規則配置。
配置項
說明
規則名稱
為規則命名。
匹配條件
定義要在請求響應中檢測的敏感資訊類型,可選值:
響應碼:400、401、402、403、404、500、501、502、503、504、405-499、505-599
敏感資訊:身份證、信用卡、電話號碼、預設敏感詞
重要防敏感資訊泄露功能目前僅支援處理中華人民共和國境內使用的資料格式(例如,社會安全號碼、手機電話號碼、銀行卡號),暫不支援處理中國境外的社會安全號碼、手機電話號碼、銀行卡號等資料格式。
您可以指定檢測響應碼、敏感資訊分類下的一種或多種類型。
如果選中並且,則可以進一步指定要檢測的URL,即只在指定的頁面中檢測敏感資訊。
匹配動作
定義在請求響應中檢測到敏感資訊後執行的操作。
匹配條件為響應碼時,支援以下匹配動作:
警示:觸發敏感資訊泄露警示通知。
攔截:阻斷訪問請求,並返回預設的屏蔽提示頁面。
匹配條件為敏感資訊時,支援以下匹配動作:
警示:觸發敏感資訊泄露警示通知。
敏感資訊過濾:脫敏請求響應中的敏感資訊。
規則配置樣本
敏感資訊過濾:針對網站頁面中可能存在的手機電話號碼和身份證等敏感資訊,配置相應的規則對其進行過濾或警示。例如,您可以設定以下防護規則,過濾手機電話號碼和社會安全號碼敏感資訊。
匹配條件:敏感資訊包含身份證、手機電話號碼。
匹配動作:敏感資訊過濾。
應用該規則後,則網站中的所有頁面的手機電話號碼和社會安全號碼都會自動脫敏,效果如下圖所示。
重要網站頁面中的商務合作電話、舉報電話等需要對外公開的手機電話號碼,也可能被手機電話號碼敏感資訊過濾規則過濾。
狀態代碼攔截:針對特定的HTTP請求狀態代碼,配置規則將其攔截或者警示,避免伺服器敏感資訊泄露。例如,您可以設定以下防護規則,攔截HTTP 404狀態代碼。
匹配條件:響應碼包含404。
匹配動作:攔截。
應用該規則後,當請求一個該網站中不存在的頁面時,返回特定攔截頁面,效果如下圖所示。
針對特定URL頁面中的敏感資訊過濾:針對特定URL頁面中存在的手機電話號碼和身份證等敏感資訊,配置相應的規則對其進行過濾或警示。例如,您可以設定以下防護規則,過濾
admin.php頁面中的社會安全號碼敏感資訊。匹配條件:敏感資訊包含身份證,並且URL包含
admin.php。匹配動作:敏感資訊過濾。
應用該規則後,僅admin.php頁面中的社會安全號碼資訊被自動脫敏。
單擊確定。
成功添加防敏感資訊泄露規則後,規則自動生效。您可以在規則列表中查看建立的規則,並根據需要編輯或刪除規則。
後續步驟
開啟防敏感資訊泄露後,您可以在安全報表頁面,通過Web安全 > 防敏感資訊泄露報表,查詢觸發防敏感資訊泄露規則被過濾或攔截的訪問請求的日誌。更多資訊,請參見WAF安全報表。