天翼云Web应用防火墙(边缘云版)设置防护敏感信息泄露
文档简介:
本文将介绍防护敏感信息泄露的配置前提、操作步骤、配置说明等,帮助您理解防敏感信息泄露功能。
功能介绍:
防护敏感信息泄露功能支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等)。您可以根据实际需要设置敏感词防护规则,满足数据安全保护和等保合规需求。
咨询热线:400-826-7010,为您提供专业的售前咨询,让您快速了解云产品,助您轻松上云!
微信咨询
免费试用、价格特惠
功能介绍
防护敏感信息泄露功能支持对网站返回的内容进行脱敏展示,过滤内容包括敏感信息(如身份证、手机号、银行卡、邮箱等)。您可以根据实际需要设置敏感词防护规则,满足数据安全保护和等保合规需求。
注意:防护敏感信息泄露功能目前只支持识别中华人民共和国境内(中国香港特别行政区、中国澳门特别行政区、中国台湾暂不支持)的身份证号、手机号、银行卡号、邮箱
前提条件
- 已开通Web应用防火墙(边缘云版)
- 已新增域名并成功接入WAF,具体操作请见WAF接入
- 开通专业版及以上版本支持防护敏感信息泄露功能
背景信息
个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。根据《GBT 35273-2017信息安全技术个人信息安全规范》解读:个人敏感信息包括:身份证号码,个人生物识别信息,银行账号,通信记录和内容,财产信息,征信信息,行踪轨迹,住宿信息,健康信息,交易信息,14岁以下(含)儿童的个人信息等。防护敏感信息泄露功能对网站的敏感内容脱敏处理,避免重要数据泄露带来的风险。
防护原理
- 根据身份证、电话号码、银行卡前缀,采用自动机算法构建字典树
- 将源站响应体内容作为文本串,利用字典树进行匹配,判断文本串中是否包含身份证等信息的前缀
- 若相应内容中包含身份证的前缀,则根据身份证长度截取相应长度的字符串,利用身份证号码验证算法,验证是否为真实身份证号码
- 响应体内没有检测到敏感词,则响应原内容给客户
- 响应体内有检测到敏感词,则进行告警,如果动作为脱敏,则再将脱敏后的内容响应给客户
操作步骤
- 登录Web应用防火墙(边缘云版)控制台
- 在左侧导航栏中选择【域名管理】—【域名列表】,单击域名列表操作【安全防护】进入高级防护页面;
- 进入“敏感词防护”页面,可以配置敏感词防护策略;
配置说明
| 配置项 | 说明 |
|
开关 |
设置敏感词防护策略的开关,可选择关闭或者开启。 |
| 处理动作 |
设置触发敏感词防护策略请求的处理动作,可选择告警或者脱敏
|
| 防护范围 |
需要检测的范围,默认为全站。支持设置多个粒度与多个防护范围,多个粒度之间为且关系,多个范围为或关系 注意:粒度只支持选择PATH、URI |
|
匹配内容 |
设置需要脱敏处理的内容,可选择手机号码/银行卡/身份证/邮箱 |
| 无需脱敏内容 | 当部分敏感词不需要进行脱敏时,可以配置例外,如果填写多个要使用分号隔开 |
脱敏效果
当防护策略处理动作选择脱敏时,敏感信息将有以下脱敏规则
- 手机号码:保留前三位和后四位,例如:137****0719
- 银行卡号:保留前六位,例如:621700***************
- 身份证号码:保留前两位和后两位,例如:21***************82
- 邮箱:若邮箱名长度少于5,则全脱敏,例如:*****@domain;若邮箱名长度大于5,则取中间5个字符脱敏,例如:24*******45
