文章总结: 本文介绍MDCGS数据分类分级系统,通过接入数据源、全量扫描、确认结果、配置保护策略、生成合规报告和建立持续运营六步,实现高效数据安全治理。系统支持多种数据库,内置敏感数据识别规则,提供分级保护建议,可一键生成合规报告并持续监控字段变化,显著提升梳理效率并确保结论可追溯。 综合评分: 81 文章分类: 数据安全,安全工具,解决方案,安全运营,合规
一年省下数万元预算,网安都在用的数据分类分级系统
原创
We12 We12
安全info
2026年7月13日 09:23 四川
在小说阅读器读本章
去阅读
点击上方蓝字关注我们
重要声明
随着网络安全越来越重要,“安全info”将定期分享实用安全技术、最新行业动态、案例分析,实战技巧等。鉴于网络安全法的基础文章内容仅供学习,不做其他任何用处!
第一步:接入数据源
项目组在服务器上部署了 MDCGS,前后不到半小时。部署完成后,第一件事是把所有数据库接进来。
系统支持以下数据源类型:
| 类型 | 端口 | 说明 | | — | — | — | | MySQL | 3306 | 业务主库 | | PostgreSQL | 5432 | 数据仓库 | | Oracle | 1521 | 财务系统 | | SQL Server | 1433 | ERP系统 | | DM(达梦) | 5236 | 政务相关 | | openGauss | 5432 | 新型数据库 | | PolarDB | 1921 | 云原生数据库 |
填写连接信息,全部接进来,用了不到一天。
第二步:发起全量扫描
数据源接入完成后,对每个数据库发起”扫描任务”。
这一步,系统自动完成三件事:
- 1. 读取表结构 读出所有表名、字段名、字段类型、注释。
- 2. 字段内容采样 从每张表取若干条样本数据,观察实际存储内容。比如有个字段名叫 c3,注释是空的,采样一看存的是手机号格式。
- 3. 规则匹配 系统内置一套敏感数据识别规则,对字段名和字段内容、注释同时做匹配:
| 敏感类型 | 匹配规则 | 典型字段 | | — | — | — | | 手机号 | 正则匹配数据值 + 字段名包含 phone、mobile、tel | – | | 身份证 | 正则匹配数据值 + 字段名包含 id_card、cert_no、person_id | – | | 银行卡 | 正则匹配数据值 + 15-字段名包含 bank_card、card_no | – | | 邮箱 | 正则匹配数据值 + @字段名包含 email、mail | – | | 姓名 | 正则匹配数据值 | real_name、truename | | IP地址 | 正则匹配数据值 + 字段名包含 ip、client_ip | – |
两百多张表,全部扫描完成,用了十分钟。
第三步:确认分类分级结果
扫描结果出来后,安全团队要做的不是从头梳理,而是审核和确认。
系统把识别结果全部列出来,每条记录包含:
- • 字段所属的数据库、表名、字段名
- • 系统识别的敏感类型(手机号 / 身份证 / 银行卡等)
- • 自动给出的分级建议(L1 至 L4)
- • 建议的保护措施(脱敏 / 加密 / 观察)
安全团队逐条过了一遍。有几条识别有误,比如某个叫 phone_code 的字段存的其实是邮编,不是手机号,改掉了。大部分识别是准确的,特别是对身份证和银行卡的识别,准确率很高。
审核完成后,系统记录了审核人和审核时间。
第四步:配置分级保护策略
分级完成后,系统根据分级结果自动给出保护建议:
| 分级 | 含义 | 建议保护措施 | | — | — | — | | L1 | 极高敏感,如身份证、银行卡 | 脱敏 + 加密,建议禁止批量导出 | | L2 | 高度敏感,如手机号、邮箱 | 脱敏,建议审批后访问 | | L3 | 中度敏感,如姓名、地址 | 视情况脱敏,记录访问日志 | | L4 | 一般数据 | 正常访问,定期巡检 |
系统内置了常用脱敏规则:星号替换(138****8000)、部分保留(6222 **** **** 7890)、哈希脱敏等,可以直接选用。
第五步:生成合规报告
全部配置完成后,一键生成报告。报告包含以下内容:
- • 数据资产总览:共计多少个数据库、多少张表、多少个字段,其中敏感字段多少个
- • 分类分布:各级别(L1-L4)的字段数量和占比
- • 敏感字段清单:所有识别出的敏感字段明细,注明当前保护状态
- • 合规评分:基于分类覆盖率和敏感字段保护落实情况计算的综合评分
- • 改进建议:还未落实保护的敏感字段,给出处理优先级建议
报告导出为 PDF,直接提交监管部门。
第六步:建立持续运营机制
一次性梳理完成后,系统留了一条定时任务:每周自动扫描一次,比对字段变化。
- • 发现了新字段,自动告警,提示安全团队复核
- • 发现已有字段被删除或改名,记录留档
- • 每次扫描结果自动存档,随时可查历史记录
这样,数据资产台账不再是”查一次管一年”,而是持续更新、持续可控。
用后的真实感受
安全团队的反馈是几件事有明显改善:
第一,梳理效率。 手工梳理两百张表,保守估计两周。MDCGS 扫描加人工复核,三天完成。
第二,结论有据可查。 手工梳理的结论靠人记忆,MDCGS 的每条分类结论都有规则依据:字段名命中了哪条规则、数据值符合什么格式,报告中全部列明。监管问起来,答得上来。
第三,历史可追溯。 字段变更有记录、审核操作有日志、报告有存档。下次检查,翻出历史报告对比,变化一目了然。
项目地址: https://github.com/HaoY-l/mdcgs 演示地址: https://mdcgs.hyinfo.cc/ (账号 admin / admin123)
本文仅供技术交流,企业数据安全建设需结合自身实际情况制定分类分级方案。
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:安全info We12 We12《一年省下数万元预算,网安都在用的数据分类分级系统》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。










评论