更新时间:2023-04-20 GMT+08:00

个人数据保护机制

为了确保网站访问者的个人数据(例如用户名、密码、手机号码等)不被未经过认证、授权的实体或者个人获取,WAF通过加密存储个人数据、控制个人数据访问权限以及记录操作日志等方法防止个人数据泄露,保证您的个人数据安全。

收集范围

对于触发攻击告警的请求,WAF在事件日志中会记录相关请求记录,收集及产生的个人数据如表1所示。

表1 个人数据范围列表

类型

收集方式

是否可以修改

是否必须

请求源IP

攻击防护域名时,被WAF拦截或者记录的攻击者IP。

URL

攻击的防护域名的URL,被WAF拦截或者记录的防护域名的URL。

HTTP/HTTPS Header信息(包括Cookie)

用户在配置CC攻击、精准访问防护规则时,在配置界面输入的Cookie值和Header值。

如果配置的Cookie和Header信息不含有用户的个人信息,则WAF记录的相关请求中不会收集及产生用户的个人数据。

请求参数(Get、Post)

防护日志里,WAF记录的请求详情。

如果请求参数里不含有用户的个人信息,则WAF记录的相关请求中不会收集及产生用户的个人数据。

存储方式

对敏感字段提供了脱敏配置,其他字段在日志中明文保存。

访问权限控制

用户只能查看自己业务的相关日志。