功能介绍
敏感词防护功能支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等)。您可以根据实际需要设置敏感词防护规则,满足数据安全保护和等保合规需求。
注意防护敏感信息泄露功能目前只支持识别中华人民共和国境内(中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持)的身份证号、手机号、银行卡号、邮箱。
前提条件
背景信息
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 35273-2017信息安全技术个人信息安全规范》解读:个人敏感信息包括:身份证号码,个人生物识别信息,银行账号,通信记录和内容,财产信息,征信信息,行踪轨迹,住宿信息,健康信息,交易信息,14岁以下(含)儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理,避免重要数据泄露带来的风险。
防护原理
- 根据身份证、电话号码、银行卡前缀,采用自动机算法构建字典树。
- 将源站响应体内容作为文本串,利用字典树进行匹配,判断文本串中是否包含身份证等信息的前缀。
- 若相应内容中包含身份证的前缀,则根据身份证长度截取相应长度的字符串,利用身份证号码验证算法,验证是否为真实身份证号码。
- 响应体内没有检测到敏感词,则响应原内容给客户。
- 响应体内有检测到敏感词,则进行告警;如果动作为脱敏,则再将脱敏后的内容响应给客户。
操作步骤
- 登录边缘安全加速平台控制台。
- 在左侧导航栏中选择【安全能力】,进入【Web应用防火墙】菜单,并在左侧域名列表选择您要防护的域名。
- 进入防护能力-高级安全防护-【敏感信息防护】详细设置页。
配置说明
配置项分类 配置项 说明 基础信息 防护模式 设置敏感词防护策略的开关,可选择关闭、告警、脱敏
关闭:则防护功能不生效
告警:只记录敏感信息泄露日志,具体信息可查看攻击日志
脱敏:对响应内容的敏感数据使用***替换部分数据内容,并会产生攻击日志
敏感信息 设置需要脱敏处理的敏感信息类型,可选择手机号码/银行卡/身份证/邮箱/地址 白名单 当部分敏感词不需要进行脱敏时,可以配置白名单,如果填写多个要使用分号隔开 防护目标 防护目标 需要检测的范围,默认为全站。一个防护条件支持设置多个且条件多个范围之间为且关系,匹配字段支持选择PATH、URI
脱敏效果
当防护策略处理动作选择脱敏时,敏感信息将有以下脱敏规则:
- 手机号码:保留前三位和后四位,例如:137****0719
- 银行卡号:保留前六位,例如:621700***************
- 身份证号码:保留前两位和后两位,例如:21***************82
- 邮箱:若邮箱名长度少于5,则全脱敏,例如:*****@domain;若邮箱名长度大于5,则取中间5个字符脱敏,例如:24*******45
- 地址:对重要行政区进行脱敏处理,如*****省*******市,最多可脱敏至五级行政区
