南大通用等保测评

1、南大通用登录

执行命令：gbase -uroot -p

默认情况下，在进行GBase的安装过程中，系统创建数据库超级账户root，并且可以为它设置初始密码，如果在这个安装过程中，用户将root的密码设置为空，用户还可以在首次登录GBase后，为root账户设置一个安全密码。

示例：安装GBase时，用户将root用户密码设置为空，在第一次登录 GBase时，可以继续为root用户设置密码。

$ gbase. -uroot

GBase client 8.5.1.2 build 27952. Copyright (c) 2004-2013, GBase.  All Rights Reserved.

gbase> SET PASSWORD FOR root = PASSWORD('H133%_h');

Query OK, 0 rows affected

支持口令策略配置（长度、复杂度、更改周期、登录失败处理），限制空闲会话超时时间（可节省数据库资源）。

2、通信加密传输

支持SSL加密传输。

访问控制

1、三权分离

南大通用数据库具备三权分离：DBSSO（数据库系统安全员）、DBSECADM（数据库安全管理员）、DBA（数据库管理员）、AAO（审计分析员）

数据库权限和角色：支持connect（仅可连接）、resource（除了可连接以外，可进行其他部分权限操作，如update、alter权限）、dba（权限比较大）三类权限角色

2、强制访问控制

制定许多策略的安全标签，这些标签在数据库表的行或列上进行设置，对访问该数据库表的用户授予相对应的安全标签，当用户访问数据库表时，数据库自动比对数据库表的安全标签是否与访问该数据库表的用户的安全标签的权限相匹配，根据访问权限授权访问内容

3、自主访问控制

默认host_list为空，此时登录无host限定。host_list 的值可以为ip或主机名，允许包含多个，使用空格“ ”分割，使用“%”和“_”做通配符（通配符用法同原host功能）。登录的ip或主机名在列表中才允许用户登录。

安全审计

审计对象：用户和会话等

审计事件：涵盖几乎我们可以预见的审计事件（增、删、改、查......）

审计日志的信息存储在系统表 gbase.audit_log 中。

基于商密密码卡对数据加解密保护和数据完整性保护

1、存储的加密解密

硬件算法：支持SM1算法

2、传输加解密

硬件SSL通信保护

客户端到服务端、数据库节点之间采用SSL技术，支持服务端和客户端的双向验证，且支持证书链认证，支持使用国密算法（SM2、SM3、SM4）硬件实现，同时支持用户主体绑定认证、服务端认证以及国产的CA证书。

通过了解常见数据库一般数据库集群或者数据库资源池内部的通信一般是没有通过加密的（不知道是不是这种情况），而GBase可以对数据库集群或者数据库资源池内部的通信进行SSL加密通信。

3、其他安全算法

用户口令存储保护、用户口令传输保护、数据完整性保护、安全相关数据的保护、密码卡设备自身的保护、密码卡厂商提供的密钥管理系统

数据备份

1、提供两地三中心架构

2、支持串行和并行的全量备份、增量备份

3、支持逻辑日志自动备份