起因
某日,安全团队收到通知:监管部门要求提交一份数据资产清单,列明公司数据库中所有敏感字段的分类分级情况。安全团队五个人,要梳理三个业务线、共计两百多张表的敏感字段情况。
手工梳理的第一步,是找各个业务线的DBA要数据库权限。DBA说要走流程,三天后批下来。权限到手后,开始逐表翻字段名、查字段注释、对数据样本。一周后,提交了一份目录,监管看了一半说:"这些字段你们怎么判断它是敏感的?依据是什么?"
安全团队答不上来。
第一步:接入数据源
项目组在服务器上部署了 MDCGS,前后不到半小时。部署完成后,第一件事是把所有数据库接进来。
系统支持以下数据源类型:
|------------|------|--------|
| 类型 | 端口 | 说明 |
| MySQL | 3306 | 业务主库 |
| PostgreSQL | 5432 | 数据仓库 |
| Oracle | 1521 | 财务系统 |
| SQL Server | 1433 | ERP系统 |
| DM(达梦) | 5236 | 政务相关 |
| openGauss | 5432 | 新型数据库 |
| PolarDB | 1921 | 云原生数据库 |
填写连接信息,全部接进来,用了不到一小时。

第二步:发起全量扫描
数据源接入完成后,对每个数据库发起"扫描任务"。
这一步,系统自动完成三件事:
第一,读取表结构。 读出所有表名、字段名、字段类型、注释。
第二,字段内容采样。 从每张表取若干条样本数据,观察实际存储内容。比如有个字段名叫 c3,注释是空的,采样一看存的是手机号格式。
第三,规则匹配。 系统内置一套敏感数据识别规则,对字段名和字段内容、注释同时做匹配:
|------|--------------------|---------------------------|
| 敏感类型 | 匹配规则 | 典型字段 |
| 手机号 | 正则匹配数据值 + 字段名包含 | phone、mobile、tel |
| 身份证 | 正则匹配数据值 + 字段名包含 | id_card、cert_no、person_id |
| 银行卡 | 正则匹配数据值 + 15-字段名包含 | bank_card、card_no |
| 邮箱 | 正则匹配数据值 + @字段名包含 | email、mail |
| 姓名 | 正则匹配数据值 | real_name、truename |
| IP地址 | 正则匹配数据值 + 字段名包含 | ip、client_ip |
两百多张表,全部扫描完成,用了十分钟。

第三步:确认分类分级结果
扫描结果出来后,安全团队要做的不是从头梳理,而是审核和确认。
系统把识别结果全部列出来,每条记录包含:
- 字段所属的数据库、表名、字段名
- 系统识别的敏感类型(手机号 / 身份证 / 银行卡等)
- 自动给出的分级建议(L1 至 L4)
- 建议的保护措施(脱敏 / 加密 / 观察)
安全团队逐条过了一遍。有几条识别有误,比如某个叫 phone_code 的字段存的其实是邮编,不是手机号,改掉了。大部分识别是准确的,特别是对身份证和银行卡的识别,准确率很高。
审核完成后,系统记录了审核人和审核时间。

第四步:配置分级保护策略
分级完成后,系统根据分级结果自动给出保护建议:
|----|---------------|------------------|
| 分级 | 含义 | 建议保护措施 |
| L1 | 极高敏感,如身份证、银行卡 | 脱敏 + 加密,建议禁止批量导出 |
| L2 | 高度敏感,如手机号、邮箱 | 脱敏,建议审批后访问 |
| L3 | 中度敏感,如姓名、地址 | 视情况脱敏,记录访问日志 |
| L4 | 一般数据 | 正常访问,定期巡检 |
系统内置了常用脱敏规则:星号替换(138****8000)、部分保留(6222 **** **** 7890)、哈希脱敏等,可以直接选用。
第五步:生成合规报告
全部配置完成后,一键生成报告。报告包含以下内容:
- 数据资产总览:共计多少个数据库、多少张表、多少个字段,其中敏感字段多少个
- 分类分布:各级别(L1-L4)的字段数量和占比
- 敏感字段清单:所有识别出的敏感字段明细,注明当前保护状态
- 合规评分:基于分类覆盖率和敏感字段保护落实情况计算的综合评分
- 改进建议:还未落实保护的敏感字段,给出处理优先级建议
报告导出为 PDF,直接提交监管部门。

第六步:建立持续运营机制
一次性梳理完成后,系统留了一条定时任务:每周自动扫描一次,比对字段变化。
- 发现了新字段,自动告警,提示安全团队复核
- 发现已有字段被删除或改名,记录留档
- 每次扫描结果自动存档,随时可查历史记录
这样,数据资产台账不再是"查一次管一年",而是持续更新、持续可控。
用了两个月后的真实感受
安全团队的反馈是几件事有明显改善:
第一,梳理效率。 手工梳理两百张表,保守估计两周。MDCGS 扫描加人工复核,三天完成。
第二,结论有据可查。 手工梳理的结论靠人记忆,MDCGS 的每条分类结论都有规则依据:字段名命中了哪条规则、数据值符合什么格式,报告中全部列明。监管问起来,答得上来。
第三,历史可追溯。 字段变更有记录、审核操作有日志、报告有存档。下次检查,翻出历史报告对比,变化一目了然。
项目地址: GitHub - HaoY-l/mdcgs: 🔥企业级数据分类分级管理平台,自动化识别敏感数据、精准定级、合规溯源,让数据治理从"盲抓"变为"可控" · GitHub
演示地址: MDCGS - 数据分类分级系统 (账号 admin / admin123)
本文仅供技术交流,企业数据安全建设需结合自身实际情况制定分类分级方案。