数据泄露事件频发，数据库敏感字段如何治理？(4)

支持总共超过100类用户或非用户数据的分级分类，最终实践的定级准确率不低于85%；
基于这样建成的能力，我们可以达成敏感数据分类分级，以及即席查询这类场景下对敏感数据的保护能力。
那么，在我们解决了如何发现敏感字段的问题后，就需要对这些敏感数据进行处置，这也是本次专项治理的核心环节。
3.数据加解密
3.1 方案选型
针对具体的处置环节，需要考虑的要求相对就更多了，而且在不同的层面上，相关方关注的要点可能也不太一致，需要在这些要点间进行取舍。
对开发和运维而言，是希望接入简单，一次整改解决所有问题，基本保持现状一致，同时兼具稳定，有可用性保障，能支持更多类型数据库形成统一方案等。
对安全而言，是关注符合合规要求，规避可能的风险。

这里主要介绍MySQL方面的工作，我们内部的团队分别从多个方向入手，提供了对应的解决方案：
基于MyBatis插件的实现形式，业务可以使用定制的加解密方法在应用内部自行实现加解密；
基于shardingsphere实现的应用层加解密，业务通过改变接入层使用特殊的配置数据源；
基于使用的MySQL架构中存在的代理来实现通用的数据加解密，对应用层完全透明，同时限定访问解密数据的权限必须要通过代理。
3.2 方案对比

从一些常规的角度，通过调研实际实现和业务反馈，我们对比了三种方案的成效，从成本以及上下游兼容性来看，Proxy具有相当的优势，综合起来我们内部是推荐使用使用Proxy做加解密，当然另外的方案也是具有可行性的，他们本质上都是同一种加解密算法的实现，可以在各个方案间无缝切换。