数据泄露事件频发，数据库敏感字段如何治理？(6)

3.3.2 优势与不足
Proxy本身是基于MySQL协议实现的代理层，相对于直接使用SDK或shardingsphere这样的偏向语言的方案，具有以下的优势：
它是MySQL架构中的一部分，这样可以使得加解密操作限定在“数据库架构”的范围内，对外部系统透明；
兼容所有使用MySQL协议的数据库，更容易应用在相关的场景中，没有接入阻碍；
支持各种语言，不存在限制。
但它本质上还是依赖加密列的实现，因为对原始语义的破坏和算法的局限，无法支持比较和计算操作。
总的来说，我们基于Proxy实现了通用的加解密方案，可以完成对敏感数据的处置，基于目前可行的发现和处置措施，就可以对目前的敏感数据进行整治。
3.4 存量数据处理
我们可以把现行的业务数据分为两大类：
归档或备份类型的冷数据，这类直接进行整个文件的加密，存储到oss系统即可符合要求；
在线数据，即业务会进行读写的数据，这类需要控制对业务的影响。

3.4.1 客户端加密存量数据
这个模式是典型的源写入加密，在新增密文字段后，可以反复地在表中使用条件匹配查找未写入密文的行，对找到的行加锁后可以查询对应行明文字段的数据，改写成一条写入的sql向具备加解密能力的SDK或Proxy执行，这样可以通过循环操作将缺失的密文数据进行补全；
这种方式，可以由业务自己执行，相对来说风险可控，虽然会明显地产生锁开销和额外的写入压力；
读取配置并获取需要清洗的数据表字段
查询加密列为NULL的行的主键值，比如（SELECT article,dealer FROM `test`.`shop` FORCE INDEX(`PRIMARY`) WHERE `article_cipher` IS NULL OR `dealer_cipher` IS NULL OR `price_cipher` IS NULL ORDER BY article,dealer ASC LIMIT 10;）