导语

网页返回的信息可能会包括个人以及企业的一些敏感信息。这些信息的泄漏可能会对个人以及企业造成恶劣的影响。因此，对敏感信息的保护和脱敏显得尤其重要。这篇文章就和大家谈谈响应信息泄漏检测的一些背景、现存脱敏的方案和一些脱敏算法。

背景

随着数字化的推进，个人敏感信息保护显得越来越重要。当前国家也推出了若干法律法规来完善个人信息的保护。累积出台的法律法规有：

• 《网络安全法》第四十二条
• 《民法典》第一百一十一条
• 《侵犯公民个人信息刑事案件适用法律若干问题的解释》第九条
• 《刑法》第二百五十三条

敏感信息泄漏对企业往往造成恶劣的影响，防敏感信息泄漏功能是Web应用防火墙针对《网络安全法》提出的“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。防敏感信息泄漏针对网*中存在的敏感信息（尤其是电*号码、身份证、信用卡）泄漏、敏感词汇泄露提供脱敏和告警措施，并支持拦截指定的HTTP状态码。

网*中成信息泄漏的常见场景包括：

• URL未授权访问（例如，网*管理后台未授权访问）
• 越权查看漏洞（例如，水平越权查看漏洞和垂直越权查看漏洞）
• 网页中的敏感信息被恶意爬虫爬取

针对网*中常见的敏感信息泄露场景，防敏感信息泄漏一般需要提供以下功能：

• 检测识别网*页面中出现的个人隐私敏感数据，并提供预警和屏*敏感信息等防护措施，避免网*经营数据泄露。这些敏感隐私数据包括但不限于身份证号、电*号码、银行卡号。
• 针对有可能暴露网*所使用的Web应用软件、操作系统类型，版本信息等服务器敏感信息，支持一键拦截，避免服务器敏感信息泄露。
• 根据内置的非法敏感关键词库，检测在网*页面中出现的相关非法敏感词，提供告警和非法关键词屏*等防护措施。

现存响应信息泄漏检测与脱敏方案

RayWAF

可针对流量中响应头和响应体检测敏感信息。其中，敏感信息根据业务特点定义，由于不同的业务领域所包含的敏感信息不同，RayWAF支持自定义正则表达式和字符串形式敏感信息，一经检测到指定的敏感信息，RayWAF支持全部隐藏或部分隐藏、替换或擦除等处置动作，实现一经发现、立刻防护的高效率模式。

可配置敏感信息检测规则，敏感信息检测规则一旦被触发，RayWAF便可按规则配置告警级别，并以邮件、短信等方式及时通知相关人员，并快速同步处置结果，记入攻击日志，方便后续溯源分析等闭环工作。

规则配置的选项有：例外 URL、编码、检测位置、敏感信息、处理动作、严重级别、优先级、告警设置等。

可根据用户业务特点增加不同的敏感词，实现对网*页面的全面检测。RayWAF 支持对 HTTP 请求体、HTTP 请求参数、HTTP 响应体、HTTP 请求 URL 位置双向检测，并可触发继续、通过、阻断、封禁、重定向等及时响应动作，对敏感信息进行多选择性、高灵活性的有效防护。

阿*云WAF

防敏感信息泄露按照配置好的防护规则，检测响应页面中是否带有身份证号、电*号码、银行卡号等敏感信息，并在发现敏感信息匹配命中后，根据规则中指定的匹配动作触发告警或者敏感信息过滤。敏感信息过滤动作指以*号替换敏感信息部分，达到保护敏感信息的效果。

防敏感信息泄露功能支持的Content-Type包括text/*、image/*、application/*等，涵盖Web端、App端和API接口。

规则配置的选项有：

• 规则名称
• 匹配条件
• 响应码：400、401、402、403、404、500、501、502、503、504、405-499、505-599
• 敏感信息：身份证、信用卡、电*号码、默认敏感词
• 可以指定检测响应码、敏感信息分类下的一种或多种类型。如果选中并且，则可以进一步指定要检测的URL，即只在指定的页面中检测敏感信息。
• 匹配动作
• 匹配条件为响应码时，支持以下匹配动作：
  • 告警：触发敏感信息泄露告警通知。
  • 拦截：阻断访问请求，并返回默认的屏*提示页面。
• 匹配条件为敏感信息时，支持以下匹配动作：
• 告警：触发敏感信息泄露告警通知。
• 敏感信息过滤：脱敏请求响应中的敏感信息。

腾*云WAF

通过添加防护规则，根据实际需要对网*返回的内容进行过滤。过滤内容包括但不限于身份证、手机号和银行卡等，也可以自定义关键字（支持正则）对订单号、地*信息等进行过滤、部分替换或者全部替换。针对网*返回的状态码，可以对非200的状态码进行阻断或者告警，满足合规要求。

规则配置选项有：

• 规则名称：防信息泄露规则名称，最长50个字符，可以在攻击日志中按照规则名称进行搜索。
• 匹配条件：防泄漏信息匹配条件，支持敏感信息、关键字和响应码，不同类型对应不同的匹配内容和动作类型，关系如下：

匹配条件	匹配内容	匹配动作
敏感信息	身份证、手机号、银行卡	告警、全部替换、仅显示后四位、仅显示前四位、阻断
关键字	支持关键字，支持正则	告警、全部替换、阻断
响应码	400、403、404、其他4xx、500、501、502、504、其他5xx	告警 、阻断

• 匹配内容：匹配内容因匹配条件不同有差异。
• 防御路径：需要进行防泄露的路径，支持目录和局路径，根据实际需要填写。
• 执行动作：命中防泄漏匹配条件的执行动作，相关命中信息可在攻击日志中查询。

华*云WAF

通过添加两种类型的防敏感信息泄露规则来进行防护：

• 敏感信息过滤。配置后可对返回页面中包含的敏感信息做屏*处理，防止用户的敏感信息（例如：身份证号、电*号码、电子邮*等）泄露。
• 响应码拦截。配置后可拦截指定的HTTP响应码页面。

防敏感信息泄露配置规则主要有：路径、类型、内容，响应码拦截配置规则主要有：路径、类型、内容。这些参数主要是指：

参数名称	参数说明	取值样例
路径	需要过滤敏感信息（例如：身份证号、电*号码、电子邮*等）或者拦截响应码的URL不包含域名的路径。前缀匹配：填写的路径前缀与需要防护的路径相同即可。如果防护路径为“/admin”，该规则填写为“/admin*”，该规则生效。精准匹配：需要防护的路径需要与此处填写的路径完全相等。如果防护路径为“/admin”，该规则必须填写为“/admin”。 说明：该路径不支持正则，仅支持前缀匹配和精准匹配的逻辑。路径里不能含有多条斜线的配置，如“///admin”，访问时，引擎会将“///”转为“/”。	/admin*
类型	敏感信息过滤：防止用户的敏感信息（例如：身份证号、电*号码、电子邮*等）泄露。响应码拦截：拦截指定的HTTP响应码页面。	敏感信息过滤
内容	防护“类型”对应的防护内容，支持多选。	身份证号码
规则描述	可选参数，设置该规则的备注信息。	--

敏感信息及脱敏算法

敏感信息

敏感信息主要包括个人敏感信息（身份证、银行卡、姓名、手机号、邮*等）、企业敏感信息（营业执照号码、税务登录证号码等）、密钥敏感信息（PEM证书、HEY私钥等）、设备敏感信息（IP地*、MAC地*、IPV6地*等）、位置敏感信息（省份、城市、GPS位置、地*等）和通用敏感信息（日期）等。

脱敏算法

主要有如下几种：

脱敏算法	脱敏方式说明	使用场景
Hash脱敏	使用Hash函数对敏感数据进行脱敏。支持SHA256和SHA512。  1. SHA256 将数据库表中字符串类型字段的内容用其SHA256的摘要值代替。该算法执行完后，结果的长度可能超过原表中列允许的最大长度。该算法按照SHA256输出长度调整列的长度。  2. SHA512 将数据库表中字符串类型字段的内容用其SHA512的摘要值代替。该算法执行完后，结果的长度可能超过原表中列允许的最大长度。该算法按照SHA512输出长度调整列的长度。	1. 敏感类型：密钥类  2. 适用场景：数据存储
加密脱敏	通过加密算法和加密主密钥生成一种加密配置，达到数据脱敏的效果。加密脱敏的结果中，初始向量IV为加密字符串的前16个字节，剩余部分是加密的密文。DSC支持AES128、AES192和AES256三种加密算法。	1. 敏感类型：个人敏感企业敏感 2. 适用场景：数据存储
字符掩盖	使用指定字符*或随机字符（随机字符包含随机数字、随机字母、随机数字字母三种类型）方式遮盖部分内容。 支持以下六种脱敏方式：  1. 保留前n后m  2. 保留自x至y  3. 遮盖前n后m 4. 遮盖自x至y 5. 特殊字符前遮盖 6. 特殊字符后遮盖 说明：敏感数据保护服务中已预置多种字符脱敏模板。	1. 敏感类型：个人敏感  2. 适用场景：数据使用数据分享
关键字替换	在指定列中查找关键词并替换。 例如，目标字符串为“张三在家吃饭”，算法执行完后映射为“张先生在家吃饭”，其中指定将“张三”替换为“张先生”。该算法执行完后，结果的长度可能超过数据库允许的最大长度。该算法将超出部分截断后插入数据库。	1. 敏感类型：个人敏感企业敏感设备敏感  2. 适用场景：数据存储数据分享
删除脱敏	将指定字段设置为Null或空值进行脱敏。  1. Null脱敏 将任意类型字段设置为NULL。对于列属性设置为“NOT NULL”的字段，该算法在拷贝时将该列属性修改为“NULL”。  2. 空值脱敏 将指定字段内容设置为空值。具体来说，将字符型的字段设置为空串，数值类的字段设置为0，日期类的字段设置为1970，时间类的字段设置为零点。	1. 敏感类型：个人敏感企业敏感设备敏感  2. 适用场景：数据存储数据分享
取整脱敏	针对日期或数字特定参数进行取整运算。 1. 日期取整年之后字段全部取整。示例：“2019-05-12 -> 2019-01-01”或“2019-05-12 08:08:08 -> 2019-01-01 00:00:00”  2. 月之后字段全部取整。示例：“2019-05-12 -> 2019-05-01”或“2019-05-12 08:08:08 -> 2019-05-01 00:00:00”  3. 日之后字段全部取整。示例：“2019-05-12 -> 2019-05-12”或“2019-05-12 08:08:08 -> 2019-05-12 00:00:00”  4. 小时之后字段全部取整。示例：“08:08:08 -> 08:00:00”或“2019-05-12 08:08:08 -> 2019-05-12 08:00:00”  5. 分钟之后字段全部取整。示例：“08:08:08 -> 08:08:00”或“2019-05-12 08:08:08 -> 2019-05-12 08:08:00”  6. 秒之后字段全部取整。示例：“08:08:08.123 -> 08:08:08.000”或“1575612731312 -> 1575612731000” 7. 数字取整 针对指定数字进行取整运算。	1. 敏感类型：通用敏感 2. 适用场景：数据存储数据使用

 

在数字化推进的过程中，对个人企业敏感信息的保护非常重要。采用合理的脱敏算法和方案对返回的响应信息进行检测和脱敏是实践证明的有效方法，能为企业和行业的数据价值提供安全可靠的保障。

 

参考文档

https://blog.csdn.net/weixin_33423874/article/details/119474229

https://help.aliyun.com/document_detail/147939.html

https://cloud.tencent.com/document/product/627/64337

https://support.huaweicloud.com/intl/zh-cn/usermanual-waf/waf_01_0054.html

https://zhuanlan.zhihu.com/p/542011331

https://blog.csdn.net/WuLex/article/details/77647804​

https://developer.aliyun.com/article/481540

https://www.kancloud.cn/kancloud/master-nginx-develop/51850

https://cloud.tencent.com/developer/article/1031686

https://support.huaweicloud.com/bestpractice-dsc/dsc_06_0001.html

https://developer.aliyun.com/article/794464

http://www.nlpir.org/wordpress/wp-content/uploads/2021/11/18%E7%BB%84-%E4%B8%AA%E4%BA%BA%E9%9A%90%E7%A7%81%E4%BF%9D%E6%8A%A4%E4%B8%8E%E8%84%B1%E6%95%8F_%E6%9C%80%E7%BB%88%E7%89%88.pdf

https://zhuanlan.zhihu.com/p/213933696

http://media.people.com.cn/n/2015/0420/c225470-26872575.html

https://blog.csdn.net/uxiAD7442KMy1X86DtM3/article/details/125688085