功能介绍
敏感词防护功能支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等)。您可以根据实际需要设置敏感词防护规则,满足数据安全保护和等保合规需求。
注意防护敏感信息泄露功能目前只支持识别中华人民共和国境内(中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持)的身份证号、手机号、银行卡号、邮箱。
前提条件
- 已开通Web应用防火墙(边缘云版)
- 已新增域名并成功接入WAF,具体操作请见WAF接入
- 开通专业版及以上版本支持防护敏感信息泄露功能
背景信息
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 35273-2017信息安全技术个人信息安全规范》解读:个人敏感信息包括:身份证号码,个人生物识别信息,银行账号,通信记录和内容,财产信息,征信信息,行踪轨迹,住宿信息,健康信息,交易信息,14岁以下(含)儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理,避免重要数据泄露带来的风险。
防护原理
- 根据身份证、电话号码、银行卡前缀,采用自动机算法构建字典树
- 将源站响应体内容作为文本串,利用字典树进行匹配,判断文本串中是否包含身份证等信息的前缀
- 若响应内容中包含身份证的前缀,则根据身份证长度截取相应长度的字符串,利用身份证号码验证算法,验证是否为真实身份证号码
- 响应体内没有检测到敏感词,则响应原内容给客户
- 响应体内有检测到敏感词,则进行告警;如果动作为脱敏,则再将脱敏后的内容响应给客户
操作步骤
- 登录Web应用防火墙(边缘云版)控制台
- 在左侧导航栏中选择【域名管理】—【域名列表】,单击域名列表操作【安全防护】进入高级防护页面
- 进入“敏感词防护”页面,可以配置敏感词防护策略
配置说明
配置项 说明 开关 设置敏感词防护策略的开关,可选择关闭或者开启。 处理动作 设置触发敏感词防护策略请求的处理动作,可选择告警或者脱敏
告警:只记录敏感信息泄露日志,具体信息可查看攻击日志
脱敏:对响应内容的敏感数据使用***替换部分数据内容,并会产生攻击日志
防护范围 需要检测的范围,默认为全站。支持设置多个粒度与多个防护范围,多个粒度之间为且关系,多个范围为或关系
注意:粒度只支持选择PATH、URI
匹配内容 设置需要脱敏处理的内容,可选择手机号码/银行卡/身份证/邮箱/地址 无需脱敏内容 当部分敏感词不需要进行脱敏时,可以配置例外,如果填写多个要使用分号隔开
脱敏效果
当防护策略处理动作选择脱敏时,敏感信息将有以下脱敏规则
- 手机号码:保留前三位和后四位,例如:137****0719
- 银行卡号:保留前六位,例如:621700***************
- 身份证号码:保留前两位和后两位,例如:21***************82
- 邮箱:若邮箱名长度少于5,则全脱敏,例如:*****@domain;若邮箱名长度大于5,则取中间5个字符脱敏,例如:24*******45
- 地址:对重要行政区进行脱敏处理,如*****省*******市,最多可脱敏至五级行政区
