配置防敏感信息泄露规则
Web应用防火墙 通过对HTTP(S)请求进行检测,识别并阻断常见Web攻击,轻松应对各种Web安全风险,Web应用防火墙支持功能如下表,包括基础业务配置、Web应用防护、PCI DSS/PCI 3DS合规认证和TLS等。
支持多语言、多构建场景下的制品检测,场景覆盖不遗漏 恶意代码检测,确保供应安全 基于AI开源软件恶意代码检测能力,恶意行为早发现 敏感信息检测防泄露 支持安全配置和密码秘钥等敏感信息检测,发现潜在的安全风险 抢先体验,新特性公测火热进行中 抢先体验,新特性公测火热进行中 立即申请 >> 源码成分分析专业版公测
购买 控制台 文档 数据分类分级 内置或自定义敏感数据扫描规则,识别定位到敏感信息,对其分类分级 数据脱敏 支持静态和动态脱敏。内置或自定义数据脱敏规则对数据完成变形处理 数据水印 支持明暗双重水印、数据库水印的注入和提取,实现版权保护和泄露事件溯源 DSPM 资产可视,出口可视,策略可视,数据安全全生命周期可视
。 数据隐私保护 监测并防止敏感数据泄露,保障用户隐私安全。 大模型防火墙应用场景 面向大模型推理应用场景提供全栈纵深的安全防御能力,保护AI应用稳定可靠运行 大模型防火墙 覆盖提示词注入及内容合规检测、防敏感信息泄露等安全防御能力,支持拒答等响应配置; 防御场景全 防御全场景模
书服务,从身份安全、网站安全、合规签约等全流程实现网络通信行为的防篡改、防劫持、防抵赖,为企业及个人数字化业务保驾护航。 提供证书管理服务,帮助客户实现数据传输加密和身份认证 华为云CA证书 CPS(电子认证业务规则) 注销列表查询(CRL) 证书生命周期管理 支持证书的申请/签
精准高效的威胁检测,通用防护场景及安全运维场景全覆盖 采用规则和AI双引擎架构,默认集成华为最新防护规则和优秀安全实践 覆盖OWASP TOP10威胁检查,支持10+种多重编码自动还原,防逃逸、绕过专利技术,检出率提升40% 企业级用户策略定制,支持多条件CC防护策略配置、海量IP黑白名单,防护更精准 保护用户数据隐私,支持全量日志存储
改、数据泄露等问题,保障业务7*24小时不中断。 低至¥58642.74/年 建议搭配安全服务 服务特性 建议版本 保护的云服务资源 安全云脑 云安全基线、告警管理及风险可视化平台 专业版 13种 企业主机安全 服务器贴身安全管家,修漏洞、防勒索、防入侵、防篡改 网页防篡改版 网站
CGS 容器安全服务能够扫描容器镜像中的漏洞,以及提供容器安全策略设置和防逃逸功能.容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款。 容器安全服务能够扫描容器镜像中的漏洞,以及提供容器安全策略设置和防逃逸功能.容器安全服务的核心功能能够满足入侵防范与恶意代码防范等保条款。
S/SSL协议;如果您需要更高安全性,可以开启服务端加密功能。此外,OBS控制台支持敏感操作保护,开启后执行删除桶等敏感操作时,系统会进行身份验证,进一步保证OBS配置和数据的安全性。OBS敏感操作清单。 问:OBS会不会扫描我的数据用于其他用途? 系统对数据做的扫描仅限于判断数
账号密码、AK/SK安全保护 账号密码、AS/SK保护 凭据管理服务CSMS支持创建、检索、更新、删除凭据,帮助用户或应用程序实现对敏感凭据的全生命周期管理,有效避免程序硬编码或明文配置导致的敏感信息泄露以及权限失控带来的业务风险。 优势 加密保护 凭据通过集成KMS进行加密存储 安全检索 将应用程序代码中
SIMP-SRD系统是一款以高精度内容识别技术为基础,通过对用户内网敏感信息的发现和识别,对标用户数据安全制度和标准,以法律法规为准绳,从风险分析角度帮助用户发现用户数据安全隐患的分线监控工具。功能静态/动态传输敏感信息检测,主要对数据保密性、剩余信息保护、个人信息的过渡采集、采集的个人信息确保经过处理无法识别特定个人及复原等等优势1
新一代扩展数据防泄露解决方案,为企业打造全息数据安全防护体系如果机密或专用信息通过多种通道(例如应用程序、物理设备或网络协议)作为未经授权的通信传输到企业之外,则称为“数据丢失”。 LOCKet XDLP可以通过在网络中或断网状态下识别并保护数据,来防止数据丢失及敏感信息泄露。 LOCKet
数据进行权限控制,保护脱离企业内网环境的数据文档安全可控,实现安全与效率共存,轻松保障数据资产安全。3、敏感信息泄露防护:敏感信息泄露防护能够智能识别数据资产中所含有的敏感信息,对通过IM工具、网络、邮件、网盘等可能造成泄密的外发或上传行为进行实时防护,防护措施包括审计、阻断、告
能够精准有效地防御注入、跨站脚本XSS与木马等攻击;2) 敏感信息防泄漏 事前通过配置隐藏服务器应用,针对漏洞与攻击工具设计检测规则,事中能够精准有效地防御路径遍历与SQL注入攻击;3) CC攻击防护 根据URL请求的异常参数特征与频率控制等对抗手段,高效过滤垃圾信息及缓解CC攻击;4) 恶意爬虫防护
据传输过程中各应用协议分析、敏感数据识别审计、阻断策略响应访问控制。网络DLP产品不仅能识别网络行为的合法性,还能深入到7层网络协议,识别网络数据内容的合法性,能有效满足客户对敏感数据防丢失泄漏的痛点需求。邮件DLP产品的核心价值,包括邮件数据日常敏感监测、事中违规审计、审批、阻
敏感数据脱敏系统(简称SIMP-SDM)是一款高度自动化、专业化的数据脱敏产品,能够对生产数据(真实高敏数据)进行敏感数据自动发现、自动抽取、自动脱敏和自动加载。满足多场景敏感数据保护需求。简介敏感数据脱敏系统(简称SIMP-SDM)是一款高度自动化、专业化的数据脱敏产品,能够对
的安全解决方案,包含恶意攻击防护、安全准入防 护、内容安全防护和信息防篡改等,切实解决信息发布管理中被恶意攻击、遭非法控制、数据泄露、信 息被篡改等信息安全问题,实现安全监管。可变信息情报板作为公众信息发布平台,在交通行业中承担着交通信息传递的重要任务。 一旦被不法分子通过网络攻
【广告敏感词过滤 文本审核 违禁词检测 广告违规词审核】提供对广告违规词语及广告监管要求封禁词语的识别审核能力,可用于广告词过滤、注册信息筛选、文章内容审核等场景。采用权威违禁词库,包含海量历史数据,及持续更新能力。—— 我们只做精品!一、产品介绍 :【广告敏感词过滤 文本审核 违禁词检测
管理终端违规外联控制企业软件商城软件管理敏感数据识别信息防泄露水印管理办公终端-功能授权-永久授权版桌面管理按需选择,自带1年维保,次年另需购买“维保”补丁管理安全管理终端标准化管理终端违规外联控制企业软件商城软件管理敏感数据识别信息防泄露水印管理更安全,更灵活,更高ROI,满足合规
隐私信息屏蔽,避免用户的密码等信息出现在事件日志中。 • 防敏感信息泄露 防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。 Web应用防火墙的哪些防护规则支持仅记录模式? Web应用防火墙的Web基础防护规则支持“仅记录”模式。 • 有关配置Web基础防护规则的详细操作,请参见配置Web基础防护规则。
通过自定义规则识别并阻断JS脚本爬虫行为。 隐私屏蔽 支持屏蔽防护事件、攻击日志中的用户名或者密码等敏感数据,避免信息泄露。 防敏感信息泄露 防止在页面中泄露用户的敏感信息,例如:用户的身份证号码、手机号码、电子邮箱等。 安全可视化 提供简洁友好的控制界面,实时查看攻击信息和事件日志。
L注入、命令注入、敏感文件访问等高危攻击,满足等保、PCI DSS等合规要求 防数据泄露场景 恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则,以实现精准识别和变形攻击检测 防网页篡改场景 攻击
,和直接修复第三方架构的漏洞相比,WAF创建的规则能更快的遏制住风险。 Web应用防火墙防数据泄露 恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则,以实现: 精准识别 采用语义分析+正则表达式
支持用户对攻击日志中的账号、密码等敏感信息进行脱敏;支持PCI-DSS标准的SSL安全配置;支持TLS协议版本和加密套件的配置 助力企业安全合规 帮助企业满足等保测评、IPv6防护,PCI-DSS等安全标准的技术要求 应用场景 防数据泄露 0Day漏洞修复 防CC攻击 防网页篡改 防数据泄露 恶意访问者
等保、PCI DSS等合规要求 防数据泄露场景 恶意访问者通过SQL注入,网页木马等攻击手段,入侵网站数据库,窃取业务数据或其他敏感信息。用户可通过Web应用防火墙配置防数据泄露规则,以实现精准识别和变形攻击检测 防网页篡改场景 攻击者利用黑客技术,在网站服务器上留下后门或篡改网
▶Web应用防火墙部署在云端,即与Web服务框架没有系统。故Web应用防火墙支持任意框架的Web服务。 Web应用防火墙、CDN和DDoS高防可以一起使用吗? ▶ WAF、CDN和DDoS高防这3个服务不能一起使用,您可以同时部署WAF和DDoS高防、WAF和CDN或DDoS高防和CDN。
合规性及已知漏洞、敏感信息泄露、安全配置等风险,并提供全面直观的风险报告及解决方案。不依赖源码即可检测,规避企业、行业针对于源码不能外传的合规性问题。支持开源软件合规及漏洞、安全配置、敏感信息泄露等多种类型风险检测。针对新风险响应迅速,从解读到落地调整检测规则到发布上线,按天更新推进。
合规性及已知漏洞、敏感信息泄露、安全配置等风险,并提供全面直观的风险报告及解决方案。不依赖源码即可检测,规避企业、行业针对于源码不能外传的合规性问题。支持开源软件合规及漏洞、安全配置、敏感信息泄露等多种类型风险检测。针对新风险响应迅速,从解读到落地调整检测规则到发布上线,按天更新推进。
配置防敏感信息泄露规则
凭据管理,即云凭据管理服务(Cloud Secret Management Service, CS MS),是一种安全、可靠、简单易用的凭据托管服务。用户或应用程序通过凭据管理服务,创建、检索、更新、删除凭据,轻松实现对敏感凭据的全生命周期的统一管理,有效避免程序硬编码或明文配置等问题导致的敏感信息泄露以及权限失控带来的业务风险。
应用场景
保存应用凭据,通过临时访问的方式防止AK&SK泄露。
应用原理
通过 统一身份认证 服务( IAM )为弹性 云服务器 ( ECS )配置委托,以获取临时访问密钥,从而保护Access Key(AK)和Secret Key(SK)的安全。
访问凭证按照时效性可分为永久凭证和临时凭证,相较于永久性访问凭证,例如用户名和密码,临时访问密钥因为有效期短且刷新频率高,所以安全性更高。因此,您可以为ECS实例授予IAM委托,使ECS实例内的应用程序可以使用临时AK&SK+SecurityToken访问C SMS ,不需要保存临时访问密钥,每次需要时动态获取,也可以缓存在内存里定时更新。
操作流程

约束限制
管理员账号或拥有ECS权限的IAM用户才能为ECS实例配置委托。
操作步骤
- IAM创建ECS委托。
- 登录管理控制台。
- 单击页面左侧
,选择“管理与监督 > 统一身份认证服务”,默认进入“用户”界面。
- 在左侧导航树中,选择“委托”,进入“委托”页面。
- 单击右上角的“创建委托”。
- 在弹出的“创建委托”对话框中,填写对应参数。参数说明如表 创建委托参数说明所示。
图2 创建委托
表1 创建委托参数说明 参数名称
参数说明
委托名称
填写自定义的委托名称。下文以“ECS_TO_CSMS”为例。
委托类型
选择“云服务”。
云服务
选择“ECS BMS ”。
持续时间
选择持续时间,可选择“永久”、“一天”、“自定义”。
描述
(可选)填写委托信息。
- 单击“完成”,并在弹框中单击“立即授权”,进入“授权”页面。
- 单击页面右上角“新建策略”,如果已存在需使用的策略忽略此步骤。
- 在“新建策略”页面配置参数,参数详情如表 新建策略参数说明所示。
图3 新建策略
表2 新建策略参数说明 参数名称
参数说明
策略名称
输入策略名称。
策略配置方式
选择“可视化视图”。
策略内容
- 允许:选择“允许”。
- 云服务:选择“凭据管理服务CSMS”以及“ 数据加密 服务KMS”。
说明:
- 仅添加CSMS服务权限时,可能会导致接口调用KMS失败。
- 需要逐个服务添加策略,完成所有策略内容选项的配置后,单击“添加权限”可再添加其他服务的策略内容。
- 操作:选择您的读写权限。
- 选择资源(可选):选择访问的资源范围。
- 特定资源:访问特定的凭据。
说明:
可以选择“通过资源路径指定”访问特定的凭据,通过“添加资源路径”加入可以访问的凭据名称。
- 所有资源:访问所有凭据。
- 特定资源:访问特定的凭据。
- 请求条件(可选):单击“添加条件”,选择条件键、运算符,填写相应的值。
策略描述
(可选)输入策略描述。
- 在“新建策略”页面配置参数,参数详情如表 新建策略参数说明所示。
- 单击“下一步”,为委托选择策略。勾选策略后,单击“下一步”。
- 选择授权范围方案,建议选择“所有资源”。
- 所有资源:授权后,IAM用户可以根据权限使用账号中所有资源,包括企业项目、区域项目和全局服务资源。
- 指定企业项目资源:授权后,用户根据权限使用已选企业项目中的资源。
- 指定区域项目资源:授权后,用户根据权限使用已选区域项目中的资源。
图4 选择授权范围 - 单击“确定”,确认信息无误后单击“完成”。
- 将委托(如ECS_TO_CSMS)赋予ECS实例。
- 如果ECS实例未创建,请参考自定义购买弹性云服务器高级配置的“委托”选择新建的委托(如ECS_TO_CSMS)。
- 如果ECS实例已创建,请按照如下流程:
- 单击页面左侧
,选择“计算 > 弹性云服务器 ECS”,进入“弹性云服务器”界面。
- 单击需要配置委托的ECS实例的“名称”,进入“基本信息”界面。
- 在“管理信息”中,单击
选择委托(如ECS_TO_CSMS)。
图5 选择委托
- 单击页面左侧
- 运行在ECS实例上的应用程序调用获取委托临时凭证的API,即可获得用于访问CSMS的临时AK&SK+SecrityToken。
- 获取临时AK&SK(Security Key 目录下),详情请参见元数据获取。
- URI
http://xx.xx.xx.xx/openstack/latest/securitykey
示例中使用实例元数据服务的IPv4地址xx.xx.xx.xx需替换为实际可用地址。
- 方法
- 返回数据内容:
{ "credential":{ "access": "LDHZK30XXXXXXXXXXXXV", "secret":"gyqcdzVXXXXXXXXXXXXXXXXXXXXXXXMl6", "securitytoken": "El9FI2C65qXXXXXXXXXXXXXXXXXXXXXnkcaoV", "expires_at": "2022-07-14T12:09:24.147000Z" } }
- 提取返回数据中的“access”、“secret”、“securitytoken”用于访问CSMS,无需本地存储。
- ECS会为您自动轮换临时凭证,从而确保每次申请的临时凭证安全、有效。
- URI
- 使用临时ak、sk和SecurityToken访问CSMS。
package com.huaweicloud.sdk.test; import com.huaweicloud.sdk.core.auth.ICredential; import com.huaweicloud.sdk.core.auth.BasicCredentials; import com.huaweicloud.sdk.core.exception.ConnectionException; import com.huaweicloud.sdk.core.exception.RequestTimeoutException; import com.huaweicloud.sdk.core.exception.ServiceResponseException; import com.huaweicloud.sdk.csms.v1.region.CsmsRegion; import com.huaweicloud.sdk.csms.v1.*; import com.huaweicloud.sdk.csms.v1.model.*; public class ListSecretsSolution { public static void main(String[] args) { String ak = "<access>"; String sk = "<secret>"; String securitytoken = "<securitytoken>"; ICredential auth = new BasicCredentials() .withAk(ak) .withSk(sk) .withSecurityToken(securitytoken); CsmsClient client = CsmsClient.newBuilder() .withCredential(auth) .withRegion(CsmsRegion.valueOf("cn-north-1")) .build(); ListSecretsRequest request = new ListSecretsRequest(); try { ListSecretsResponse response = client.listSecrets(request); System.out.println(response.toString()); } catch (ConnectionException e) { e.getMessage(); } catch (RequestTimeoutException e) { e.getMessage(); } catch (ServiceResponseException e) { e.getMessage(); System.out.println(e.getHttpStatusCode()); System.out.println(e.getErrorCode()); System.out.println(e.getErrorMsg()); } } }
- 获取临时AK&SK(Security Key 目录下),详情请参见元数据获取。
配置防敏感信息泄露规则常见问题
更多常见问题 >>-
在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。
-
在已获取管理控制台登录账号与密码,并且已成功配置实例的转发规则的条件下。
-
华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,防范常见Web攻击,Web攻击检测拦截,全面避免网站被黑客恶意攻击和入侵,Web基础防护
-
Web应用防火墙(Web Application Firewall,WAF),通过对HTTP(s)请求进行检测,识别并阻断SQL注入、跨站脚本攻击、网页木马上传、命令/代码注入、文件包含、敏感文件访问、第三方应用漏洞攻击、CC攻击、恶意爬虫扫描、CSRF等攻击,保护Web服务安全稳定。
-
华为云Web应用防火墙WAF对网站业务流量进行多维度检测和防护,结合深度机器学习智能识别恶意请求特征和防御未知威胁,防范常见Web攻击,Web攻击检测拦截,全面避免网站被黑客恶意攻击和入侵,WAF接入最佳实践
-
Web应用防火墙(Web Application Firewall,WAF)当防护网站的部署模式为“云模式”或“独享模式”且“对外协议”为“HTTPS”时,您需要选择证书使证书绑定到防护网站。您可以通过上传证书,将证书上传到WAF,使防护网站直接选择上传的证书。当证书过期或证书无效时,您可以删除该证书。该项目下的证书也可以共享给其他企业项目使用。
配置防敏感信息泄露规则教程视频
最佳实践视频帮助您快速了解搭建流程 了解更多
更多相关专题
增值电信业务经营许可证:B1.B2-20200593 | 域名注册服务机构许可:黔D3-20230001 | 代理域名注册服务机构:新网、西数