网络基础信息及安全 17

任务1数据库用户与权限管理——项目八

数据库的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02理解数据库安全用户的管理子任务1用户身份标识和鉴别03子任务2配置登录失败处理功能04子任务3管理用户的帐户和口令05子任务4对登录用户分配账户和权限0601任务规划任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。1）测评内容：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。安全加固措施：建议身份密码登录，身份标识具有唯一性，身份鉴别信息具有复杂度要求，密码长度最少为8位，密码由数字、字母大小写、特殊符号组成、并设置定期更换，更换时间最长为90天。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。2）测评内容：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。安全加固措施：建议数据库配置登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，可采取登录失败五次锁定三十分钟；登录超时设置为30分钟自动退出。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。3）测评内容：应重命名或删除默认账户，修改默认账户的默认口令安全加固措施：应重命名或删除默认账户，修改默认账户的默认口令4）测评内容：应及时删除或停用多余的、过期的账户，避免共享账户的存在。安全加固措施：建议删除或停用多余的、过期的账户，避免共享账户的存在；根据需要创建每个人员对应的账户。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。5）测评内容：应对登录的用户分配账户和权限；应授予管理用户所需的最小权限，实现管理用户的权限分离。安全加固措施：建议对登录用户由管理员分配账户和权限，也就是建议建立、操作员、审计员、安全管理员等角色，安全管理为制定安全策略人员、操作员为日常操作用户、审计员只需具有审计日志查看权限；实现用户所需权限最小化，和管理用户权限分离。本任务的环境Windows10操作系统，已经安装OpenSSL和MySQL8.1数据库。“02相关知识相关知识——2.1理解数据库安全相关知识——2.1理解数据库安全什么是信息安全等级保护？信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。在我国，信息安全等级保护广义上为涉及该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。在做信息安全等级保护时，数据库的等级保护也是一项必不可少的工作。相关知识——2.1理解数据库安全信息安全等级保护相关知识——2.1理解数据库安全什么是数据库安全？数据库安全是指一系列措施和实践，旨在保护数据库管理系统（DBMS）中的敏感数据免受未经授权的访问、泄露、篡改或破坏。数据库安全的目标是确保数据的机密性、完整性和可用性。相关知识——2.1理解数据库安全以下是数据库安全的几个关键方面：1）访问控制：通过用户认证和权限分配，限制对数据库的访问。只有授权用户才能访问或操作数据。2）数据加密：使用加密技术保护存储和传输中的数据，防止敏感信息被未授权者读取。3）安全配置：确保数据库系统和相关应用程序的配置符合安全标准，例如关闭不必要的服务和端口，更新和修补已知的安全漏洞。4）监控和审计：实时监控系统以跟踪对数据库的所有访问和操作，以及定期进行安全审计，以发现并解决潜在的安全问题。相关知识——2.1理解数据库安全以下是数据库安全的几个关键方面：5）备份与恢复：定期备份数据库，并确保备份数据的安全存储，同时制定有效的数据恢复计划，以应对数据丢失或损坏的情况。6）网络隔离：通过防火墙、VPN和其他网络安全措施，限制和监控对数据库的网络访问。7）应用安全：确保与数据库交互的应用程序遵循安全编码实践，防止SQL注入等攻击。8）物理安全：保护数据库服务器所在的物理位置，防止非法物理访问和篡改。相关知识——2.1理解数据库安全以下是数据库安全的几个关键方面：9）数据脱敏：在开发和测试环境中使用脱敏数据，以防止敏感信息泄露。10）合规性：遵守相关的法律法规和行业标准，如GDPR、HIPAA等，确保数据处理活动合法合规。相关知识——2.1理解数据库安全数据库安全是一个多层次、多方面的领域，需要综合考虑技术、人员和流程等因素，以构建一个全面的安全防护体系。如果通俗地说，可以从以下四个方面来解释：哪个用户：MySQL提供了用户账号，只允许合法的用户登录。从什么途径：MySQL对用户的访问途径做出了限制，例如只允许从指定IP登录。对什么资源：指定可以访问的资源，包括数据库、表、列、存储函数或者存储过程。例如可以访问哪一个数据库，哪些表，哪一列或者哪一个存储过程。做什么操作：指定具体的操作，例如查询、修改、删除还是更新数据。好学深思认识信息安全等级保护，按要求做好信息安全等级保护。信息安全等级保护是指根据我国《信息安全等级保护管理办法》的规定，对各类信息系统按照其重要程度和保密需求进行分级，并制定相应的技术和管理措施，确保信息系统的安全性、完整性、可用性。根据等级不同，信息安全等级保护分为一到五级，一级为最低级别，五级为最高级别。等级越高，保护要求越严格，技术和管理措施也相应加强。好学深思认识信息安全等级保护，按要求做好信息安全等级保护。读者可以通过以下标准了解更多相关信息：《计算机信息系统安全等级保护划分准则》（GB17859-1999）

（基础类标准）《信息系统安全等级保护实施指南》

（GB/T25058-2010）

（基础类标准）《信息系统安全保护等级定级指南》

（GB/T22240-2008）

（应用类定级标准）《信息系统安全等级保护基本要求》

（GB/T22239-2008）

（应用类建设标准）相关知识——2.2用户的管理相关知识——2.2用户的管理在实际的操作中，一般不在mysql.user表和mysql.tables_priv表这些数据表中直接操作，而是通过一组SQL语句来实现安全管理。用户登录方面有三种方式：MySQL本地登录、MySQL远程登录、MySQL本地和远程的组合登录。登录方式登录特点MySQL本地登录只能在服务器主机上登录。适用于服务器上的应用程序或服务。通常用于服务器管理任务。MySQL远程登录可以从任何可以访问服务器IP的地点登录。适用于分布式团队或远程工作的需要。需要配置用户权限以允许远程主机访问。MySQL本地和远程组合登录-结合了本地和远程登录的特点。可以为不同的用户或应用程序设置不同的访问权限。允许特定用户从本地或特定远程主机登录。相关知识——2.2用户的管理在MySQL中，可以通过指定主机名与用户名的组合来控制登录方式。例如，root用户可以被授权在本地主机（通常使用localhost或服务器的主机名）登录，或者从任何远程主机登录（使用%作为通配符表示任何IP地址），或者从特定的远程主机登录（使用具体的IP地址或IP范围）。相关知识——2.2用户的管理1）本地登录MySQL对于本地登录MySQL，通常不需要指定主机名（host），因为默认就是localhost（或127.0.0.1）。mysql-u用户名-p-u后面是MySQL用户名。-p表示输入密码，执行后系统会提示用户输入密码。-举例：如果用户名是root，可以通过以下命令尝试登录：mysql-uroot-p相关知识——2.2用户的管理2）远程登录MySQL对于远程登录MySQL，需要指定MySQL服务器的主机名（或IP地址）以及端口（如果需要的话，默认是3306）。基本语法如下：mysql-h主机名或IP地址-P端口号-u用户名-p-h后面是MySQL服务器的主机名或IP地址。-P后面是MySQL服务器的端口号（注意是大写的P）。-u后面是MySQL用户名。-p表示将输入密码，执行后系统会提示用户输入密码。举例：假设MySQL服务器的主机IP是192.168.1.100，端口是默认的3306，用户名是remote_user，可以通过以下命令尝试登录：mysql-h192.168.1.100-P3306-uremote_user-p相关知识——2.2用户的管理3）管理MySQL用户的语法MySQL用户管理涉及多个方面，包括创建用户、查看用户、修改用户密码、重命名用户、删除用户以及授予和撤销用户权限等。以下是MySQL用户管理的主要语法：##创建用户CREATEUSER'用户名'@'主机名'IDENTIFIEDBY'密码';##修改当前用户密码SETPASSWORD=PASSWORD('新密码');ALTERUSERUSER()IDENTIFIEDBY'新密码';##MySQL5.7.6及以上版本语法相关知识——2.2用户的管理3）管理MySQL用户的语法##修改其他用户的密码SETPASSWORDFOR'用户名'@'主机名'=PASSWORD('新密码');ALTERUSER'用户名'@'主机名'IDENTIFIEDBY'新密码';##MySQL5.7.6及以上版本语法##重命名用户RENAMEUSER'oldusername'@'localhost'TO'newusername'@'localhost';##删除用户DROPUSER'用户名'@'主机名';相关知识——2.2用户的管理3）管理MySQL用户的语法主机名是指定用户可以从哪个主机连接到MySQL服务器。localhost表示只能从本地机器连接，%表示可以从任何主机连接。以下是举例：##创建用户。创建了一个名为newuser的用户，该用户只能从本地机器通过密码password123连接到MySQL服务器。CREATEUSER'newuser'@'localhost'IDENTIFIEDBY'password123';##查看用户USEmysql;SELECTuser,hostFROMuser;##修改密码。将newuser用户的密码更改为newpassword123ALTERUSER'newuser'@'localhost'IDENTIFIEDBY'newpassword123';03子任务1子任务1-1用户身份标识和鉴别1）测评内容：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。安全加固措施：建议身份密码登录，身份标识具有唯一性，身份鉴别信息具有复杂度要求，密码长度最少为8位，密码由数字、字母大小写、特殊符号组成、并设置定期更换，更换时间最长为90天。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1用户身份标识和鉴别知识链接——密码复杂度插件的参数说明validate_password_check_user_name，ON为打开validate_password_dictionary_file用于配置密码的字典文件，当validate_password_policy设置为STRONG时可以配置密码的字典文件，字典文件中存在的密码不得使用validate_password_length用来设置密码的最小长度，默认值是8最小是0validate_password_mixed_case_count当validate_password_policy设置为MEDIUM或者STRONG时，密码中至少同时拥有的小写和大写字母的数量，默认是1最小是0；默认是至少拥有一个小写和一个大写字母。validate_password_number_count当validate_password_policy设置为MEDIUM或者STRONG时，密码中至少拥有的数字的个数，默认1最小是0validate_password_special_char_count当validate_password_policy设置为MEDIUM或者STRONG时，密码中至少拥有的特殊字符的个数，默认1最小是004子任务2子任务1-2配置登录失败处理功能2）测评内容：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。安全加固措施：建议数据库配置登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，可采取登录失败五次锁定三十分钟；登录超时设置为30分钟自动退出。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2配置登录失败处理功能知识链接——数据库连接超时参数connection_control_failed_connections_threshold：在服务器增加后续连接尝试的延迟之前，允许客户端进行的连续失败连接尝试的次数。connection_control_min_connection_delay：对于超出阈值的每个连续连接失败，要添加的延迟量，1800000毫秒（即30分钟）。connection_control_max_connection_delay：要添加的最大延迟。知识链接——数据库等待连接参数wait_timeout定义了非交互式连接在关闭之前等待活动的秒数。默认值可能因MySQL版本和配置而异，但通常是28800秒（8小时）。这将其设置为1800秒（30分钟），意味着如果一个非交互式连接在30分钟内没有活动，MySQL将关闭它。interactive_timeout定义了交互式连接在关闭之前等待活动的秒数。connect_timeout定义了服务器等待客户端连接的秒数。将其设置为10秒，这意味着如果MySQL服务器在10秒内没有从客户端接收到完整的连接请求，它将放弃该连接尝试。05子任务3子任务1-3管理用户的帐户和口令3）测评内容：应重命名或删除默认账户，修改默认账户的默认口令安全加固措施：应重命名或删除默认账户，修改默认账户的默认口令4）测评内容：应及时删除或停用多余的、过期的账户，避免共享账户的存在