数据分类分级治理实践:从发现到管控的全链路记录

起因

某日,安全团队收到通知:监管部门要求提交一份数据资产清单,列明公司数据库中所有敏感字段的分类分级情况。安全团队五个人,要梳理三个业务线、共计两百多张表的敏感字段情况。

手工梳理的第一步,是找各个业务线的DBA要数据库权限。DBA说要走流程,三天后批下来。权限到手后,开始逐表翻字段名、查字段注释、对数据样本。一周后,提交了一份目录,监管看了一半说:"这些字段你们怎么判断它是敏感的?依据是什么?"

安全团队答不上来。


第一步:接入数据源

项目组在服务器上部署了 MDCGS,前后不到半小时。部署完成后,第一件事是把所有数据库接进来。

系统支持以下数据源类型:

|------------|------|--------|
| 类型 | 端口 | 说明 |
| MySQL | 3306 | 业务主库 |
| PostgreSQL | 5432 | 数据仓库 |
| Oracle | 1521 | 财务系统 |
| SQL Server | 1433 | ERP系统 |
| DM(达梦) | 5236 | 政务相关 |
| openGauss | 5432 | 新型数据库 |
| PolarDB | 1921 | 云原生数据库 |

填写连接信息,全部接进来,用了不到一小时。


第二步:发起全量扫描

数据源接入完成后,对每个数据库发起"扫描任务"。

这一步,系统自动完成三件事:

第一,读取表结构。 读出所有表名、字段名、字段类型、注释。

第二,字段内容采样。 从每张表取若干条样本数据,观察实际存储内容。比如有个字段名叫 c3,注释是空的,采样一看存的是手机号格式。

第三,规则匹配。 系统内置一套敏感数据识别规则,对字段名和字段内容、注释同时做匹配:

|------|--------------------|---------------------------|
| 敏感类型 | 匹配规则 | 典型字段 |
| 手机号 | 正则匹配数据值 + 字段名包含 | phone、mobile、tel |
| 身份证 | 正则匹配数据值 + 字段名包含 | id_card、cert_no、person_id |
| 银行卡 | 正则匹配数据值 + 15-字段名包含 | bank_card、card_no |
| 邮箱 | 正则匹配数据值 + @字段名包含 | email、mail |
| 姓名 | 正则匹配数据值 | real_name、truename |
| IP地址 | 正则匹配数据值 + 字段名包含 | ip、client_ip |

两百多张表,全部扫描完成,用了十分钟。


第三步:确认分类分级结果

扫描结果出来后,安全团队要做的不是从头梳理,而是审核和确认

系统把识别结果全部列出来,每条记录包含:

  • 字段所属的数据库、表名、字段名
  • 系统识别的敏感类型(手机号 / 身份证 / 银行卡等)
  • 自动给出的分级建议(L1 至 L4)
  • 建议的保护措施(脱敏 / 加密 / 观察)

安全团队逐条过了一遍。有几条识别有误,比如某个叫 phone_code 的字段存的其实是邮编,不是手机号,改掉了。大部分识别是准确的,特别是对身份证和银行卡的识别,准确率很高。

审核完成后,系统记录了审核人和审核时间。


第四步:配置分级保护策略

分级完成后,系统根据分级结果自动给出保护建议:

|----|---------------|------------------|
| 分级 | 含义 | 建议保护措施 |
| L1 | 极高敏感,如身份证、银行卡 | 脱敏 + 加密,建议禁止批量导出 |
| L2 | 高度敏感,如手机号、邮箱 | 脱敏,建议审批后访问 |
| L3 | 中度敏感,如姓名、地址 | 视情况脱敏,记录访问日志 |
| L4 | 一般数据 | 正常访问,定期巡检 |

系统内置了常用脱敏规则:星号替换(138****8000)、部分保留(6222 **** **** 7890)、哈希脱敏等,可以直接选用。


第五步:生成合规报告

全部配置完成后,一键生成报告。报告包含以下内容:

  • 数据资产总览:共计多少个数据库、多少张表、多少个字段,其中敏感字段多少个
  • 分类分布:各级别(L1-L4)的字段数量和占比
  • 敏感字段清单:所有识别出的敏感字段明细,注明当前保护状态
  • 合规评分:基于分类覆盖率和敏感字段保护落实情况计算的综合评分
  • 改进建议:还未落实保护的敏感字段,给出处理优先级建议

报告导出为 PDF,直接提交监管部门。


第六步:建立持续运营机制

一次性梳理完成后,系统留了一条定时任务:每周自动扫描一次,比对字段变化。

  • 发现了新字段,自动告警,提示安全团队复核
  • 发现已有字段被删除或改名,记录留档
  • 每次扫描结果自动存档,随时可查历史记录

这样,数据资产台账不再是"查一次管一年",而是持续更新、持续可控。


用了两个月后的真实感受

安全团队的反馈是几件事有明显改善:

第一,梳理效率。 手工梳理两百张表,保守估计两周。MDCGS 扫描加人工复核,三天完成。

第二,结论有据可查。 手工梳理的结论靠人记忆,MDCGS 的每条分类结论都有规则依据:字段名命中了哪条规则、数据值符合什么格式,报告中全部列明。监管问起来,答得上来。

第三,历史可追溯。 字段变更有记录、审核操作有日志、报告有存档。下次检查,翻出历史报告对比,变化一目了然。


项目地址: GitHub - HaoY-l/mdcgs: 🔥企业级数据分类分级管理平台,自动化识别敏感数据、精准定级、合规溯源,让数据治理从"盲抓"变为"可控" · GitHub

演示地址: MDCGS - 数据分类分级系统 (账号 admin / admin123)


本文仅供技术交流,企业数据安全建设需结合自身实际情况制定分类分级方案。

相关推荐
SLD_Allen1 小时前
阿里开源的安全沙箱解决方案 OpenSandbox
安全·开源·沙箱
技术不好的崎鸣同学2 小时前
[ACTF2020 新生赛]Include 思路及解法
算法·安全·web安全
量子罐头3 小时前
光润通发布LYSH-LAN-V1.0家庭版智能安全路由器 主打国密级硬件加密
网络·安全·智能路由器
Yofune安全研究3 小时前
《邮件钓鱼攻防工程》Part 1:从 GoPhish 的天花板谈起
安全
你觉得脆皮鸡好吃吗3 小时前
OAuth学习 下
网络·安全·web安全·网络安全学习
NOVAnet20233 小时前
SaaS 化 MDR 安全运营平台技术架构解析:态势感知、关联研判与自动化响应实践
安全·架构·自动化
飞斯柯罗3 小时前
[飞斯柯罗] 想了解什么是网络安全资产和 KMS?
网络·安全·web安全
数据知道4 小时前
安全实验室搭建指南:一台电脑搭出完整靶场环境
安全·网络安全·电脑
运维大师4 小时前
【安全与故障排查】06-【复盘】生产数据库删库事故:RTO4小时恢复纪实
数据库·安全