
起因某日安全团队收到通知监管部门要求提交一份数据资产清单列明公司数据库中所有敏感字段的分类分级情况。安全团队五个人要梳理三个业务线、共计两百多张表的敏感字段情况。手工梳理的第一步是找各个业务线的DBA要数据库权限。DBA说要走流程三天后批下来。权限到手后开始逐表翻字段名、查字段注释、对数据样本。一周后提交了一份目录监管看了一半说这些字段你们怎么判断它是敏感的依据是什么安全团队答不上来。第一步接入数据源项目组在服务器上部署了 MDCGS前后不到半小时。部署完成后第一件事是把所有数据库接进来。系统支持以下数据源类型类型端口说明MySQL3306业务主库PostgreSQL5432数据仓库Oracle1521财务系统SQL Server1433ERP系统DM达梦5236政务相关openGauss5432新型数据库PolarDB1921云原生数据库填写连接信息全部接进来用了不到一小时。第二步发起全量扫描数据源接入完成后对每个数据库发起扫描任务。这一步系统自动完成三件事第一读取表结构。读出所有表名、字段名、字段类型、注释。第二字段内容采样。从每张表取若干条样本数据观察实际存储内容。比如有个字段名叫c3注释是空的采样一看存的是手机号格式。第三规则匹配。系统内置一套敏感数据识别规则对字段名和字段内容、注释同时做匹配敏感类型匹配规则典型字段手机号正则匹配数据值 字段名包含phone、mobile、tel身份证正则匹配数据值 字段名包含id_card、cert_no、person_id银行卡正则匹配数据值 15-字段名包含bank_card、card_no邮箱正则匹配数据值 字段名包含email、mail姓名正则匹配数据值real_name、truenameIP地址正则匹配数据值 字段名包含ip、client_ip两百多张表全部扫描完成用了十分钟。第三步确认分类分级结果扫描结果出来后安全团队要做的不是从头梳理而是审核和确认。系统把识别结果全部列出来每条记录包含字段所属的数据库、表名、字段名系统识别的敏感类型手机号 / 身份证 / 银行卡等自动给出的分级建议L1 至 L4建议的保护措施脱敏 / 加密 / 观察安全团队逐条过了一遍。有几条识别有误比如某个叫phone_code的字段存的其实是邮编不是手机号改掉了。大部分识别是准确的特别是对身份证和银行卡的识别准确率很高。审核完成后系统记录了审核人和审核时间。第四步配置分级保护策略分级完成后系统根据分级结果自动给出保护建议分级含义建议保护措施L1极高敏感如身份证、银行卡脱敏 加密建议禁止批量导出L2高度敏感如手机号、邮箱脱敏建议审批后访问L3中度敏感如姓名、地址视情况脱敏记录访问日志L4一般数据正常访问定期巡检系统内置了常用脱敏规则星号替换138****8000、部分保留6222 **** **** 7890、哈希脱敏等可以直接选用。第五步生成合规报告全部配置完成后一键生成报告。报告包含以下内容数据资产总览共计多少个数据库、多少张表、多少个字段其中敏感字段多少个分类分布各级别L1-L4的字段数量和占比敏感字段清单所有识别出的敏感字段明细注明当前保护状态合规评分基于分类覆盖率和敏感字段保护落实情况计算的综合评分改进建议还未落实保护的敏感字段给出处理优先级建议报告导出为 PDF直接提交监管部门。第六步建立持续运营机制一次性梳理完成后系统留了一条定时任务每周自动扫描一次比对字段变化。发现了新字段自动告警提示安全团队复核发现已有字段被删除或改名记录留档每次扫描结果自动存档随时可查历史记录这样数据资产台账不再是查一次管一年而是持续更新、持续可控。用了两个月后的真实感受安全团队的反馈是几件事有明显改善第一梳理效率。手工梳理两百张表保守估计两周。MDCGS 扫描加人工复核三天完成。第二结论有据可查。手工梳理的结论靠人记忆MDCGS 的每条分类结论都有规则依据字段名命中了哪条规则、数据值符合什么格式报告中全部列明。监管问起来答得上来。第三历史可追溯。字段变更有记录、审核操作有日志、报告有存档。下次检查翻出历史报告对比变化一目了然。项目地址GitHub - HaoY-l/mdcgs: 企业级数据分类分级管理平台自动化识别敏感数据、精准定级、合规溯源让数据治理从盲抓变为可控 · GitHub演示地址MDCGS - 数据分类分级系统 账号 admin / admin123本文仅供技术交流企业数据安全建设需结合自身实际情况制定分类分级方案。