MCP 本地化安全基线清单（2026-02）¶

1. 目的与范围¶

本清单用于约束基于 MCP（Model Context Protocol）的 AI 系统在企业内网中运行时的数据安全与合规要求，目标是：

业务数据默认不出域（或最小出域）
模型调用、工具调用、报告导出可审计、可追溯
高风险操作可管控、可阻断

适用对象：MCP Client、MCP Server、LLM 推理服务、RAG/向量库、报表导出链路。

2. 必须项（Must）¶

2.1 部署与调用边界¶

[ ] 生产环境默认使用本地/私有化 LLM。
[ ] MCP Server 仅允许内网地址与受控服务白名单。
[ ] 所有 MCP 工具必须登记所有者、用途、输入输出字段、风险等级。
[ ] 禁止未评审工具直连生产数据源。

2.2 网络控制¶

[ ] 默认拒绝出站公网（egress deny-all）。
[ ] 若需外部 API，必须审批并限定到域名 + 端口 + 路径级白名单。
[ ] 模型服务、数据服务、对象存储分网段隔离。
[ ] 服务间通信启用 TLS 与双向认证（mTLS 优先）。

2.3 数据最小化与脱敏¶

[ ] Prompt 仅允许最小必要字段，不得拼接全量明细。
[ ] 分析计算优先在 SQL/Python 执行层完成，LLM只做解释与总结。
[ ] 敏感字段（姓名/手机号/证件号/账号/商户号）入模前强制脱敏。
[ ] RAG 检索返回结果需经过字段级过滤与敏感词扫描。

2.4 访问控制¶

[ ] 实施 RBAC + ABAC（角色 + 数据标签）。
[ ] 每个 MCP 工具具有独立权限策略与参数白名单。
[ ] 秘钥统一托管（KMS/Vault），严禁硬编码。
[ ] 生产与测试环境账号、数据、秘钥完全隔离。

2.5 审计与追踪¶

[ ] 记录完整调用链：用户、会话、提示词摘要、工具、数据范围、输出摘要。
[ ] 日志不可篡改（WORM 或审计库）。
[ ] 可按工单/用户/数据对象做反向溯源。
[ ] 报告导出与外发必须可追踪到操作人。

2.6 输出安全¶

[ ] 输出前执行敏感信息检测（规则 + 词典 + 模型校验）。
[ ] 高风险任务（导出、外发、共享）必须人工审批。
[ ] 导出文件默认打水印、默认最小权限分享。

3. 禁止项（Must Not）¶

[ ] 禁止将原始全量业务明细直接发送到公有大模型。
[ ] 禁止无参数约束的任意 SQL / Shell 工具暴露给 Agent。
[ ] 禁止在日志中记录明文密钥、完整敏感字段与原始隐私数据。
[ ] 禁止开发调试配置（verbose prompt、回显敏感上下文）进入生产。
[ ] 禁止绕过审批新增外部模型路由或 MCP 工具。

4. 应该项（Should）¶

[ ] 建立数据分级：P0/P1 严禁外发，P2 脱敏后可控外发。
[ ] 建立模型路由策略：敏感任务永远本地，低敏任务才可外部。
[ ] 建立 Prompt 模板库并做版本管理，减少自由拼接风险。
[ ] 建立红队测试集（越权、提示注入、数据泄漏、工具滥用）。
[ ] 每月执行一次安全抽检与审计复盘。

5. 可选增强（Could）¶

[ ] DLP 网关：实时检测与阻断数据外发。
[ ] 机密计算（TEE）：保护模型推理时内存态敏感数据。
[ ] 细粒度输出标签：内部/受限/机密分级。
[ ] 响应可解释性绑定：输出必须附来源片段与规则依据。

6. 参考架构（本地优先）¶

User/App
  -> MCP Client (policy check)
    -> Orchestrator (RBAC/ABAC + routing + audit)
      -> Local MCP Servers (SQL/Python/Report)
      -> Local LLM Service
      -> Local Vector DB / Metadata DB

关键控制点：

路由前：数据分级、脱敏、权限校验。
调用中：工具参数白名单、速率限制、超时熔断。
输出前：敏感扫描、合规规则校验、审批。

7. 上线前 30 分钟自检¶

[ ] 防火墙策略能否证明“默认不出公网”？
[ ] 任一敏感字段是否可能原样进入 Prompt？
[ ] 导出前是否存在自动扫描与审批？
[ ] 是否能追溯“谁在什么时候导出了什么”？
[ ] MCP 工具新增是否强制经过评审流？

8. 三阶段落地优先级¶

第 1 阶段（1 周）：断公网、白名单、审计日志、脱敏。
第 2 阶段（2-3 周）：RBAC/ABAC、审批流、输出扫描。
第 3 阶段（持续）：红队演练、月度审计、策略优化。