数据泄露事件频发，数据库敏感字段如何治理？(7)

通过获取到的主键值，查询加密列的明文值，并对查询行加锁，比如：（SELECT article,dealer,price FROM `test`.`shop` FORCE INDEX (`PRIMARY`) WHERE `article` = 1 AND `dealer` = "A" LIMIT 1 FOR UPDATE;）
获取到明文数据后，通过Proxy更新明文列，达到清洗数据目的，比如：（UPDATE `test`.`shop` SET `article` = 1,`dealer` = "A",`price` = 3.530000 WHERE `article` = 1 AND `dealer` = "A";）
提交清洗事务，循环执行2，3，4过程达到清洗全表数据，当步骤2查询返回空时结束

3.4.2 gh-ost工具加密（在线DDL变更工具 数据加密算法）
我们对MySQL表的在线变更是依赖gh-ost工具来实现的，它的机制上就是在原集群上创建一个影子表，通过select和Binlog row 复制，将原表的数据灌入到影子表中，最后通过一次锁切换，实现访问目标变更。
那么这个环节实际上可以和我们的对敏感数据治理的工作结合起来，因为实现上会要求建立密文字段（或者不建立亦可），所以可以将加密历史数据的环节直接放在新增密文字段操作发生时。

4.数据链路的上下游适配
4.1 业务接入改造
对于存在敏感数据治理的数据库的上游，显而易见就是涉及敏感数据的业务系统，我们做的一切工作就是为了帮助解决原本没有脱敏或不符合规范的数据落地；