一、MariaDB等保测评概述与重要性

MariaDB作为开源关系型数据库，广泛应用于企业核心业务系统。等保测评（网络安全等级保护测评）是依据《网络安全法》和《信息安全技术 网络安全等级保护基本要求》，对信息系统进行安全性评估的强制性要求。对于MariaDB数据库而言，等保测评的核心目标是验证其是否满足数据保密性、完整性、可用性要求，防范数据泄露、篡改、拒绝服务等安全风险。

根据等保2.0标准，MariaDB数据库通常属于三级系统（重要信息系统），需满足物理安全、网络安全、主机安全、应用安全、数据安全等五个维度的技术要求，以及安全管理机构、安全管理制度、人员安全管理等五个维度的管理要求。测评不通过可能导致系统停运、罚款等严重后果，因此系统化开展等保测评至关重要。

二、MariaDB等保测评前的准备工作

1. 确定测评范围与对象

明确测评的MariaDB实例范围（如生产库、测试库）、部署模式（单机/主从/集群）、网络环境（内网/外网）及关联系统（如应用服务器、备份系统）。例如，某金融企业的MariaDB集群涉及3个主节点、5个从节点，需全部纳入测评范围。

2. 组建测评团队

团队应包含数据库管理员（DBA）、安全工程师、合规专员等角色。DBA负责提供数据库配置、权限信息；安全工程师负责漏洞扫描与渗透测试；合规专员负责对照等保条款整理证据。

3. 收集基础资料

需准备的材料包括：

• 数据库架构图（含网络拓扑、组件关系）
• 用户权限表（系统用户、数据库用户、角色分配）
• 审计日志配置（如慢查询日志、错误日志路径）
• 备份策略（全量/增量备份频率、保留周期）
• 加密方案（传输加密、存储加密算法及密钥管理）

例如，某电商平台的MariaDB配置了SSL加密传输（TLS 1.2），存储数据使用AES-256加密，需在资料中明确说明。

三、MariaDB等保测评实施步骤

1. 技术测评：物理与环境安全

• 机房访问控制：检查数据库服务器所在机房的门禁系统、监控摄像头、防火防水措施。例如，要求机房实行双因素认证（门禁卡+指纹），7×24小时录像存储不少于90天。
• 设备冗余：验证电源、网络、存储的冗余设计。如MariaDB集群的主节点需配置双电源、双网卡绑定，避免单点故障。

2. 技术测评：网络安全

• 网络隔离：检查数据库是否部署在独立VLAN，与办公网、测试网逻辑隔离。例如，通过防火墙规则限制仅允许应用服务器IP访问数据库端口（3306）。
• 入侵防范：使用工具（如Nmap、OpenVAS）扫描数据库端口，验证是否存在未授权访问漏洞。某企业测评中发现MariaDB默认端口暴露，通过修改端口为非标准端口（如3307）并配置防火墙规则修复。

3. 技术测评：主机安全

• 操作系统加固：检查Linux主机是否禁用默认账户（如root远程登录）、配置密码复杂度策略（如最小长度12位，包含大小写、数字、特殊字符）。
• 进程监控：验证是否部署主机安全软件（如ClamAV）实时监控异常进程。例如，某银行通过部署OSSEC监控MariaDB相关进程（mysqld、mysqld_safe）的内存占用，防止内存耗尽攻击。

4. 技术测评：应用安全（MariaDB特有）

• 权限管理：检查数据库用户权限是否遵循最小化原则。例如，应用账户仅授予SELECT、INSERT权限，禁止DROP、TRUNCATE等危险操作。通过SQL语句验证：

  -- 查询用户权限示例
  SELECT host, user, Select_priv, Insert_priv, Drop_priv 
  FROM mysql.user 
  WHERE user='app_user';

• SQL注入防护：验证应用是否使用参数化查询（Prepared Statement）而非字符串拼接。例如，Java应用中应使用PreparedStatement而非Statement：

  // 安全示例：参数化查询
  String sql = "SELECT * FROM users WHERE id = ?";
  PreparedStatement stmt = connection.prepareStatement(sql);
  stmt.setInt(1, userId);

• 审计日志：检查是否开启通用查询日志（general_log）和慢查询日志（slow_query_log），并设置合理的阈值（如慢查询时间>2秒）。配置示例：

  # my.cnf配置片段
  [mysqld]
  general_log = 1
  general_log_file = /var/log/mysql/mysql-general.log
  slow_query_log = 1
  slow_query_log_file = /var/log/mysql/mysql-slow.log
  long_query_time = 2

5. 技术测评：数据安全

• 传输加密：验证是否配置SSL/TLS加密。通过SHOW VARIABLES LIKE '%ssl%'检查：

  -- 检查SSL配置
  SHOW VARIABLES LIKE 'have_ssl';  -- 应返回'YES'
  SHOW VARIABLES LIKE 'ssl_ca';    -- 应指向CA证书路径

• 存储加密：检查是否使用透明数据加密（TDE）或文件系统加密（如LUKS）。例如，某医院对MariaDB的ibdata1文件使用LUKS加密，密钥由HSM（硬件安全模块）管理。
• 备份恢复：模拟数据丢失场景，验证备份文件的完整性和可恢复性。例如，从全量备份+增量备份中恢复指定表，检查数据一致性。

6. 管理测评：制度与人员

• 安全策略：检查是否制定《数据库安全管理规范》，明确密码轮换周期（如90天）、权限申请流程等。
• 人员培训：验证DBA是否接受过等保合规培训，留存培训记录（如签到表、课件）。

四、测评问题整改与报告编写

1. 常见问题与整改方案

• 问题：审计日志未覆盖所有操作。
  整改：启用audit_log插件，配置覆盖DDL、DML操作：

  [mysqld]
  plugin-load = audit_log.so
  audit_log = FORCE_PLUS_PERMANENT
  audit_log_file = /var/log/mysql/audit.log
  audit_log_include_commands = SELECT,INSERT,UPDATE,DELETE,CREATE,DROP

• 问题：默认账户未禁用。
  整改：重命名或删除默认账户：

  -- 重命名root账户（需先创建新管理账户）
  RENAME USER 'root'@'localhost' TO 'admin'@'localhost';

2. 测评报告编写

报告需包含以下内容：

• 测评概述：系统描述、测评依据（如GB/T 22239-2019）、测评范围。
• 测评结果：按技术/管理维度分类，标注符合项、部分符合项、不符合项。
• 整改建议：针对不符合项提出具体修复方案（如代码修改、配置调整）。
• 附件：漏洞扫描报告、配置检查清单、审计日志样本。

五、持续合规与优化建议

1. 定期复测

建议每年至少开展一次等保复测，尤其在系统升级（如MariaDB版本升级）、架构变更（如引入读写分离）后及时评估。

2. 自动化监控

部署安全监控工具（如Prometheus+Grafana监控数据库性能指标，Falco检测异常进程），实现合规状态的实时可视化。

3. 供应链安全

若使用第三方插件或云服务（如AWS RDS for MariaDB），需评估供应商的安全能力，要求提供SOC 2或等保三级认证报告。

通过系统化的等保测评，企业不仅能满足监管要求，更能显著提升MariaDB数据库的安全防护水平，为业务连续性提供坚实保障。