Web应用防火墙的敏感信息泄露保护功能可以防护哪些敏感数据泄漏？

背景信息

防敏感信息泄漏功能是Web应用防火墙针对《网络安全法》提出的“网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告”所给出的安全防护方案。防敏感信息泄漏针对网站中存在的敏感信息（尤其是电话号码、身份证、信用卡等）泄漏、敏感词汇泄露提供脱敏和告警措施，并支持拦截指定的HTTP状态码。

功能特性

网站中造成信息泄漏的常见场景包括URL未授权访问（例如，网站管理后台未授权访问）、越权查看漏洞（例如，水平越权查看漏洞和垂直越权查看漏洞）、网页中的敏感信息被恶意爬虫爬取。针对网站中常见的敏感信息泄露场景，防敏感信息泄漏提供以下功能：

检测识别网站页面中出现的个人隐私敏感数据，并提供预警和屏蔽敏感信息等防护措施，避免网站经营数据泄露。这些敏感隐私数据包括但不限于身份证号、电话号码、银行卡号。【注意：防敏感信息泄露功能目前仅支持处理中华人民共和国境内使用的数据格式（例如，身份证号、电话号码、银行卡号），暂不支持处理中国境外的身份证号、电话号码、银行卡号等数据格式。】
针对有可能暴露网站所使用的Web应用软件、操作系统类型，版本信息等服务器敏感信息，支持一键拦截，避免服务器敏感信息泄露。
根据内置的非法敏感关键词库，检测在网站页面中出现的相关非法敏感词，提供告警和非法关键词屏蔽等防护措施。

工作原理

防敏感信息泄露按照配置好的防护规则，检测响应页面中是否带有身份证号、电话号码、银行卡号等敏感信息，并在发现敏感信息匹配命中后，根据规则中指定的匹配动作触发告警或者敏感信息过滤。敏感信息过滤动作指以※号替换敏感信息部分，达到保护敏感信息的效果。

防敏感信息泄露功能支持的Content-Type包括text/※、image/※、application/※等，涵盖Web端、App端和API接口。

设置防敏感信息泄露

前提条件

已开通Web应用防火墙实例，且实例满足以下要求：
- 包年包月实例：
  - 如果实例地域是中国内地，则实例版本必须是高级版及以上规格。
  - 如果实例地域是海外地区，则实例版本必须是企业版及以上规格。
按量计费实例：已在账单与套餐中心，开启数据安全模块下防敏感信息泄露功能。
已完成网站接入。

操作步骤

1、登录Web应用防火墙控制台。
2、在顶部菜单栏，选择Web应用防火墙实例的资源组和地域（中国内地、非中国内地）。
3、在左侧导航栏，选择防护配置 > 网站防护。
4、在网站防护页面上方，切换到要设置的域名。

5、单击Web安全页签，定位到防敏感信息泄露区域，开启状态开关并单击前去配置。
6、新增防敏感信息泄露规则。

在防敏感信息泄露页面，单击新增规则。
在新建规则对话框，完成以下规则配置。

后续步骤

开启防敏感信息泄露后，您可以在安全报表页面，通过Web安全 > 防敏感信息泄露报表，查询触发防敏感信息泄露规则被过滤或拦截的访问请求的日志。

更多阿里云安全小知识请关注我持续更新~
需要采买阿里云产品的可私信我索取优惠～