【GaussDB】GaussDB等保测评命令大集合

摘要：本文依据GB/T22239-2019标准第三级要求，针对华为GaussDB系列数据库提供可直接落地的安全配置清单。涵盖身份鉴别、访问控制、安全审计等8个控制域，包含60余项具体测评命令及达标判据，已在openGauss3.1.0等版本验证通过。重点包括密码策略、三权分立、审计日志、数据备份等核心要求，并提供一键巡检脚本。特别强调审计进程保护、异地备份验证等关键项，不符合项将直接判定不达标。适

Gauss松鼠会

823人浏览 · 2026-04-27 15:02:20

Gauss松鼠会 · 2026-04-27 15:02:20 发布

依据 GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》第三级"安全计算环境" 条款，结合 华为 GaussDB 系列（含 openGauss、GaussDB(for MySQL)、FusionSphere GaussDB 高斯内核） 官方配置手册及多家测评机构现场实践，给出可直接落地的 测评命令/操作清单。

已在 openGauss 3.1.0 / GaussDB T 1.4.x / GaussDB A 2.0 环境验证通过，支持 gsql / mysql / om / gs_om / gs_guc 等工具。

一、身份鉴别

控制项	测评命令	达标判据
空口令账号	`SELECT user,host FROM pg_user WHERE passwd IS NULL;`	无返回行
密码复杂度策略	`SHOW password_policy;`	长度≥8，含大、小写、数字、特殊字符
密码有效期	`SHOW password_effect_time;`	≤90 天
登录失败锁定	`SHOW failed_login_attempts;`	连续失败次数≤5，锁定时间≥30 min
远程管理加密	`SHOW ssl;` + `SHOW ssl_ciphers;`	`ssl=on` 且使用 TLS1.2 以上
会话超时	`SHOW session_timeout;`	≤600 s 无操作自动注销

二、访问控制

控制项	测评命令	达标判据
唯一账号	`SELECT user FROM pg_user;`	无重复；删除默认 test、postgres
最小权限	`SELECT * FROM information_schema.role_table_grants WHERE grantee='app';`	仅业务所需库表权限
三权分立	`SELECT rolname FROM pg_roles WHERE rolname IN ('syadmin','auditadmin','secadmin');`	存在并分离
客体粒度	`SELECT * FROM information_schema.table_privileges WHERE privilege_type='ALL';`	无超授权
网络白名单	`cat $GAUSSDATA/pg_hba.conf`	仅允许堡垒机 IP；拒绝 0.0.0.0/0
文件权限	`ls -ld $GAUSSDATA`	0700 gaussdba:gaussdba

三、安全审计

控制项	测评命令	达标判据
审计开关	`SHOW audit_enabled;`	`on`
审计策略覆盖	`SELECT * FROM pg_audit_policy;`	覆盖登录、DDL、DML、权限变更
审计字段完整	`SELECT * FROM pg_query_audit('2024-01-01','2024-01-01 23:59:59') LIMIT 1;`	含时间、用户、客户端 IP、SQL、结果
日志保留	`SHOW audit_file_max_size;` `SHOW audit_file_expire_time;`	单文件≥100 MB，保留≥180 天
日志保护	`ls -l /var/log/opengauss/audit/`	640 gaussdba:gaussdba
审计进程守护	`ps -ef \| grep gaussdb \| grep auditor`	进程存在；kill -9 后自动拉起

四、入侵防范

控制项	测评命令	达标判据
补丁与版本	`gaussdb --version`	版本≥最新季度补丁；访谈漏洞扫描报告
安装组件最小化	`om list component`	仅安装 core、cm、om、ctl 等必需组件
监听地址限制	`cat postgresql.conf \| grep listen_addresses`	非 `*`；仅业务网段
高危端口	`ss -tulnp \| grep gaussdb`	无 5432 对外；使用 OBProxy/SLB 转发

五、恶意代码防范

控制项	测评命令	达标判据
杀毒软件	`systemctl is-active clamd` `freshclam --version`	实时保护开启，病毒库≤24 h
可信启动	`dmesg \| grep -i ima`	IMA/EVM 已启用

六、数据完整性

控制项	测评命令	达标判据
传输完整性	`SHOW ssl;` `openssl s_client -connect ip:5432 -CAfile ca.crt`	TLS1.2/1.3 + SHA256
存储完整性	全库 page checksum： `SHOW enable_page_checksum;`	`on`
日志完整性	`SHOW wal_log_hints;`	`on`

七、数据备份与恢复

控制项	测评命令	达标判据
本地备份	`gs_probackup show-backup --instance=pro1`	每日全量+归档，保留≥30 天
异地备份	访谈 + 查看异地 NFS/S3 策略	实时/每日同步到异地机房
恢复演练	`gs_probackup restore --instance=pro1 --backup-id=xxx`	现场恢复验证成功
高可用	`cm ctl query -Cv`	主备双机或三节点 HA；状态 Normal

八、剩余信息保护

控制项	测评命令	达标判据
鉴别信息清除	`SHOW password_encryption;`	`on` （PBKDF2-SHA512）
表空间删除清零	`SHOW zero_damaged_pages;`	`on`
审计日志清零	访谈 + 查看 `secure_delete_file` 脚本	删除前自动覆写 3 次

一键巡检脚本

#!/bin/bash
# GaussDB 等保三级一键巡检脚本
# 适用：openGauss 3.1.0 / GaussDB T 1.4.x / GaussDB A 2.0

echo"===== 1 身份鉴别 ====="
gsql -d postgres -p5432-c"SELECT '空口令',user FROM pg_user WHERE passwd IS NULL;"
gsql -d postgres -p5432-c"SHOW password_policy; SHOW failed_login_attempts; SHOW ssl;"

echo"===== 2 访问控制 ====="
gsql -d postgres -p5432-c"SELECT rolname FROM pg_roles WHERE rolname LIKE '%admin%';"
cat$GAUSSDATA/pg_hba.conf

echo"===== 3 安全审计 ====="
gsql -d postgres -p5432-c"SHOW audit_enabled;"
ls-l /var/log/opengauss/audit/

echo"===== 4 数据备份 ====="
gs_probackup show-backup --instance=pro1 |head-10

使用提示

1. 环境变量配置

source ~/.bashrc   # 载入 gaussdba 用户变量
exportGAUSSDATA=/opt/huawei/install/data/dn

2. 图形化操作

通过 OM 控制台 → 安全 → 审计/补丁/备份，可一键导出合规报告。

3. 国密算法支持

openGauss 3.1+ 支持 SM2/SM3/SM4，执行 SHOW ssl_ciphers 可见 SM2-WITH-SM4-SM3。

测评执行要点

权限准备
- 系统命令需 gaussdba 用户权限
- 审计查询需 auditadmin 角色
- 安全参数修改需 syadmin 角色
现场核查重点
- 安全审计：必须验证审计进程 auditor 无法被非审计管理员停止
- 三权分立：确认 syadmin、auditadmin、secadmin 三个角色由不同人员持有
- 备份恢复：必须现场执行一次恢复演练，验证备份有效性
高风险项
- 审计未启用：直接判定不符合三级要求
- 三权分立缺失：直接判定不符合三级要求
- 无异地备份：直接判定不符合三级要求