功能介紹

敏感詞防護功能支持對網站返回的內容進行脫敏展示，過濾內容包括敏感信息（如身份證、手機號、銀行卡、郵箱等）。您可以根據實際需要設置敏感詞防護規則，滿足數據安全保護和等保合規需求。

                    
注意
                    
防護敏感信息泄露功能目前只支持識別中華人民共和國境內（中國香港特別行政區、中國澳門特別行政區、中國臺灣暫不支持）的身份證號、手機號、銀行卡號、郵箱。
                    
                  
                  

前提條件

• 已經訂購邊緣安全加速平臺-安全與加速服務，若未訂購，請參見服務開通。
• 在控制臺新增域名，請參見添加服務域名。
• 開通套餐為基礎版及以上版本，支持防護敏感信息泄露相關功能。

背景信息

個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。根據《GBT 35273-2017信息安全技術個人信息安全規范》解讀：個人敏感信息包括：身份證號碼，個人生物識別信息，銀行賬號，通信記錄和內容，財產信息，征信信息，行蹤軌跡，住宿信息，健康信息，交易信息，14歲以下（含）兒童的個人信息等。防護敏感信息泄露功能對網站的敏感內容脫敏處理，避免重要數據泄露帶來的風險。

說明
默認脫敏顯示您的聯系方式等敏感信息，點擊明文顯示時，請您注意保護數據安全！

防護原理

• 根據身份證、電話號碼、銀行卡前綴，采用自動機算法構建字典樹。
• 將源站響應體內容作為文本串，利用字典樹進行匹配，判斷文本串中是否包含身份證等信息的前綴。
• 若相應內容中包含身份證的前綴，則根據身份證長度截取相應長度的字符串，利用身份證號碼驗證算法，驗證是否為真實身份證號碼。
• 響應體內沒有檢測到敏感詞，則響應原內容給客戶。
• 響應體內有檢測到敏感詞，則進行告警；如果動作為脫敏，則再將脫敏后的內容響應給客戶。

操作步驟

1. 登錄。
2. 在左側導航欄中選擇【安全能力】，進入【Web應用防火墻】菜單，并在左側域名列表選擇您要防護的域名。
3. 進入防護能力-高級安全防護-【敏感信息防護】詳細設置頁。

配置說明

配置項分類
配置項
說明
基礎信息
防護模式
設置敏感詞防護策略的開關，可選擇關閉、告警、脫敏
關閉：則防護功能不生效
告警：只記錄敏感信息泄露日志，具體信息可查看攻擊日志
脫敏：對響應內容的敏感數據使用***替換部分數據內容，并會產生攻擊日志
敏感信息
設置需要脫敏處理的敏感信息類型，可選擇手機號碼/銀行卡/身份證/郵箱/地址
白名單
當部分敏感詞不需要進行脫敏時，可以配置白名單，如果填寫多個要使用分號隔開
防護目標
防護目標
需要檢測的范圍，默認為全站。一個防護條件支持設置多個且條件多個范圍之間為且關系，匹配字段支持選擇PATH、URI

脫敏效果

當防護策略處理動作選擇脫敏時，敏感信息將有以下脫敏規則：

• 手機號碼：保留前三位和后四位，例如：137****0719
• 銀行卡號：保留前六位，例如：621700***************
• 身份證號碼：保留前兩位和后兩位，例如：21***************82
• 郵箱：若郵箱名長度少于5，則全脫敏，例如：*****@domain；若郵箱名長度大于5，則取中間5個字符脫敏，例如：24*******45
• 地址：對重要行政區進行脫敏處理，如*****省*******市，最多可脫敏至五級行政區