一、等保测评基础认知与MariaDB适用性

等保测评（网络安全等级保护测评）是根据《网络安全法》要求，对信息系统安全保护能力进行分级评估的强制性合规活动。MariaDB作为开源关系型数据库，在金融、政务、医疗等领域广泛应用，其等保测评需重点关注数据存储安全、访问控制、日志审计等核心模块。

根据等保2.0标准，MariaDB系统通常对应三级等保要求（重要信息系统），需满足安全区域边界、安全计算环境、安全管理中心等三大类控制项。测评周期一般为每年一次，重大系统变更后需重新测评。

二、MariaDB等保测评核心步骤详解

1. 定级备案阶段

操作要点：

• 业务影响分析：评估MariaDB存储数据的敏感性（如个人身份信息、医疗记录等）
• 系统服务范围确定：明确数据库访问对象（内部员工/合作伙伴/公众用户）
• 定级报告编制：填写《信息系统安全等级保护定级报告》，三级系统需经省级网信部门备案

技术示例：

-- 数据分类查询示例
SELECT 
    table_name, 
    CASE 
        WHEN column_name LIKE '%id_card%' THEN '高度敏感'
        WHEN column_name LIKE '%phone%' THEN '中度敏感'
        ELSE '普通数据'
    END AS sensitivity_level
FROM information_schema.columns 
WHERE table_schema = 'your_database';

2. 差距分析阶段

关键检查项：

• 身份鉴别：检查是否启用强密码策略（长度≥12位，复杂度要求）

  # MariaDB配置示例（my.cnf）
  [mysqld]
  password_policy = MEDIUM  # 或STRONG
  password_history = 6      # 禁止重复使用最近6次密码

• 访问控制：验证最小权限原则实施情况

  -- 权限审计查询
  SELECT user, host, Select_priv, Insert_priv 
  FROM mysql.user 
  WHERE user != 'root';

• 数据加密：检查传输层加密（SSL/TLS）和静态数据加密配置

  -- 查看SSL连接状态
  SHOW STATUS LIKE 'Ssl%';

3. 整改实施阶段

典型整改方案：

1. 网络架构加固：

   • 部署数据库防火墙（如MariaDB Enterprise Audit Plugin）
   • 实施网络分段，将DB服务器置于独立安全域

2. 日志审计增强：

   -- 启用通用查询日志（生产环境慎用，建议用专用审计插件）
   SET GLOBAL general_log = 'ON';
   SET GLOBAL log_output = 'TABLE';

   推荐使用MariaDB Audit Plugin实现结构化审计：

   [mysqld]
   plugin-load-add = server_audit.so
   server_audit_events = CONNECT,QUERY,TABLE
   server_audit_logging = ON

3. 备份恢复机制：

   • 制定3-2-1备份策略（3份副本，2种介质，1份异地）
   • 验证备份恢复流程：

     # 备份示例
     mysqldump -u root -p --single-transaction --routines your_db > backup.sql
     # 恢复测试
     mysql -u root -p your_db < backup.sql

4. 测评验收阶段

测评方法论：

• 技术测评：使用自动化工具（如Nessus）扫描漏洞，人工验证配置合规性
• 管理测评：检查安全管理制度、人员培训记录等文档
• 渗透测试：模拟攻击验证防护体系有效性

常见问题处理：

• 问题：未启用密码复杂度策略
  整改：修改/etc/my.cnf并重启服务

  [mysqld]
  validate_password_policy = MEDIUM
  validate_password_length = 12

• 问题：审计日志保留不足6个月
  整改：配置日志轮转并设置保留策略

  # /etc/logrotate.d/mariadb-audit
  /var/log/mysql/mysql-audit.log {
      daily
      missingok
      rotate 180
      compress
      delaycompress
      notifempty
      create 640 mysql adm
      sharedscripts
      postrotate
          /bin/kill -HUP `cat /var/run/mysqld/mysqld.pid 2> /dev/null` 2> /dev/null || true
      endscript
  }

三、MariaDB等保测评高级实践

1. 性能与安全的平衡

• 使用代理服务器减轻DB压力：

  # 示例：通过Nginx实现SSL终止和负载均衡
  stream {
      upstream mariadb_cluster {
          server db1.example.com:3306;
          server db2.example.com:3306;
      }
      server {
          listen 3306 ssl;
          proxy_pass mariadb_cluster;
          ssl_certificate /path/to/cert.pem;
          ssl_certificate_key /path/to/key.pem;
      }
  }

2. 自动化合规检查

开发Python脚本实现定期自检：

import pymysql
import warnings
def check_mariadb_security():
    conn = pymysql.connect(user='audit_user', password='secure_pass',
                          host='localhost', database='mysql')
    try:
        with conn.cursor() as cursor:
            # 检查root远程访问权限
            cursor.execute("SELECT host FROM mysql.user WHERE user='root' AND host!='localhost'")
            remote_roots = cursor.fetchall()
            if remote_roots:
                print("⚠️ 发现root用户允许远程登录，存在安全风险")
            # 检查匿名账户
            cursor.execute("SELECT user FROM mysql.user WHERE user=''")
            if cursor.fetchone():
                print("⚠️ 发现匿名账户，需立即删除")
    finally:
        conn.close()
if __name__ == "__main__":
    warnings.filterwarnings("ignore", category=pymysql.Warning)
    check_mariadb_security()

四、持续改进机制

1. 建立安全基线：制定《MariaDB安全配置规范》，包含120+项检查指标
2. 实施变更管理：所有数据库变更需通过安全审批流程
3. 定期复测：每季度进行差距分析，每年完成完整等保测评

合规证明材料清单：

• 等保备案证明
• 测评报告（含整改项闭环证据）
• 安全管理制度汇编
• 人员安全培训记录

通过系统化实施上述步骤，企业可有效提升MariaDB数据库的安全防护水平，满足等保三级合规要求。建议组建由DBA、安全工程师、合规专员组成的专项小组，确保测评工作高效推进。