网络基础信息及安全 19

任务2数据库访问控制管理任务——项目八

数据库的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02权限的管理MySQL使用SSL的步骤数据库的审计功能子任务1限定IP访问03子任务2Windows下MySQL配置SSL04子任务3开启审计功能0501任务规划任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的访问控制管理和加固。1）测评内容：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；安全加固措施：建议设定终端接入方式或设置网络地址范围，只允许特定IP或地址段进行登录。只允许公司内网通过ssh远程登录。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的访问控制管理和加固。2）测评内容：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计安全加固措施：建议数据库开启安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计本任务的环境Windows10操作系统，已经安装OpenSSL和MySQL8.1数据库。使用DBeaver23.2.5登录测试MySQL8.1数据库“02相关知识相关知识——2.1权限的管理相关知识——2.1权限的管理MySQL数据库权限的分类MySQL数据库权限的分类主要包括右边几种类型，每种权限都对应着不同的操作能力和数据库访问级别。相关知识——2.1权限的管理MySQL数据库权限的分类1）全局权限：这些权限适用于整个MySQL服务器实例。它们包括创建新用户、关闭服务器等操作，存储在mysql.user表中。2）数据库级别权限：这些权限仅适用于特定的数据库，例如创建和删除数据库中的表，它们存储在mysql.db表中。3）表级别权限：这些权限适用于数据库中的特定表，例如对表进行选择、插入、更新和删除操作，存储在mysql.tables_priv表中。相关知识——2.1权限的管理MySQL数据库权限的分类4）列级别权限：这些权限控制用户对表中特定列的访问，例如只能读取或写入某些列的数据，存储在mysql.columns_priv表中。5）路由级别权限：这些是针对存储过程和函数的权限，例如执行或修改存储过程和函数，存储在cs_priv表中。6）代理用户权限：允许一个用户代表另一个用户执行操作，这在某些管理操作中非常有用。相关知识——2.1权限的管理表、列和存储过程的权限设置数据库对象权限设置表SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATEVIEW,SHOWVIEW,CREATEROUTINE,ALTERROUTINE,TRIGGER,LOCKTABLES列SELECT,INSERT,UPDATE,REFERENCES存储过程CREATEROUTINE,ALTERROUTINE,EXECUTE在MySQL中，授权管理是通过GRANT和REVOKE语句来完成的。这些语句允许为用户分配或撤销数据库、表、视图、存储过程等的访问权限。相关知识——2.1权限的管理GRANT语句的使用GRANT语句用于给用户授予权限。其基本语法如下：GRANT权限列表ON数据库名.表名TO'用户名'@'主机名'[IDENTIFIEDBY'密码'][WITHGRANTOPTION];-权限列表：一个或多个权限，用逗号分隔，如SELECT,INSERT,UPDATE。-数据库名.表名：指定权限应用于哪个数据库和表。*.*表示所有数据库和表。-'用户名'@'主机名'：指定用户及其可以连接的主机。IDENTIFIEDBY‘密码’：（可选）为新用户设置密码，或在更新现有用户密码时使用。

注意，这通常不是GRANT语句的一部分，除非是在创建新用户时同时授予权限。WITHGRANTOPTION：（可选）允许用户将授予的权限授予其他用户。相关知识——2.1权限的管理GRANT语句的使用举例：授予用户john对所有数据库的SELECT和INSERT权限。GRANTSELECT,INSERTON*.*TO'john'@'localhost';相关知识——2.1权限的管理GRANT语句的使用举例：授予用户jane对salesdb数据库的employees表的SELECT、UPDATE和DELETE权限，并允许她将这些权限授予其他用户。GRANTSELECT,UPDATE,DELETEONsalesdb.employeesTO'jane'@'localhost'WITHGRANTOPTION;相关知识——2.1权限的管理REVOKE语句的使用REVOKE语句用于撤销之前通过GRANT语句授予的权限。其基本语法如下：REVOKE权限列表ON数据库名.表名FROM'用户名'@'主机名';相关知识——2.1权限的管理REVOKE语句的使用举例：撤销用户john对所有数据库的INSERT权限。举例：撤销用户jane对salesdb数据库的employees表的DELETE权限。REVOKEINSERTON*.*FROM'john'@'localhost';REVOKEDELETEONsalesdb.employeesFROM'jane'@'localhost';温馨提示学好和用好GRANT和REVOKE语句在执行GRANT和REVOKE语句时，需要有足够的权限来授予或撤销权限。使用GRANTOPTION时，请小心谨慎，因为它允许用户将权限授予其他用户，这可能会导致权限管理变得复杂。当撤销用户的权限时，这些更改会立即生效。但是，如果用户已经连接到数据库，并且已经打开了具有哪些权限的会话，那么这些会话将保持哪些权限，直到会话结束。相关知识——2.2MySQL使用SSL的步骤相关知识——2.2MySQL使用SSL的步骤SSL（SecureSocketsLayer）的主要作用：1）数据加密：SSL可以对传输的数据进行加密，确保数据在网络中传输时不被第三方窃听或篡改。2）身份验证：SSL可以验证服务器的身份，确保客户端连接到的是正确的服务器，而不是一个伪装的服务器（即防止中间人攻击）。3）数据完整性：SSL可以确保数据在传输过程中没有被篡改，如果数据在传输过程中被修改，接收方可以检测到这种变化。4）防止重放攻击：SSL协议中包含机制来防止攻击者重放之前捕获的数据包。相关知识——2.2MySQL使用SSL的步骤配置MySQL以使用SSL的基本步骤1）生成SSL证书和密钥：打开命令行工具，使用OpenSSL命令生成SSL证书和私钥，但也可以使用第三方证书颁发机构（CA）签发的证书。物理访问和篡改。opensslreq-newkeyrsa:2048-nodes-keyoutserver-key.pem-x509-days365-outserver-cert.pem-这一条命令会生成一个2048位的RSA私钥（server-key.pem）和一个自签名的X.509证书（server-cert.pem），有效期为365天相关知识——2.2MySQL使用SSL的步骤配置MySQL以使用SSL的基本步骤2）配置MySQL服务器：在MySQL的配置文件（通常是f或my.ini）中，启用SSL并指定证书文件和密钥文件的位置。[mysqld]ssl-ca=/path/to/ca.pem#CA证书的路径，如果是自签名证书，则不需要ssl-cert=/path/to/server-cert.pem#服务器证书的路径ssl-key=/path/to/server-key.pem#服务器私钥的路径相关知识——2.2MySQL使用SSL的步骤配置MySQL以使用SSL的基本步骤3）重启MySQL服务器：使用系统服务命令或MySQL的特定命令来重启服务器。4）配置客户端：在客户端连接到MySQL服务器时，需要指定SSL选项，以确保使用SSL连接。5）检查SSL连接。相关知识——2.3数据库的审计功能相关知识——2.3数据库的审计功能审计功能的作用：追踪用户操作：审计功能可以记录用户对数据库的操作，包括登录、查询、修改、删除等操作，以便进行安全审计和追溯。发现潜在的安全风险：通过审计日志，管理员可以追踪用户的操作行为，发现潜在的安全风险，如未授权的访问、非法的操作等，并及时采取措施进行防范。保护敏感数据：审计功能有助于保护数据库中的敏感数据，防止数据泄露和非法访问。满足合规性要求：对于一些行业或组织，如金融、医疗等，数据库安全审计是符合合规性要求的重要措施。通过审计功能，可以确保数据库操作符合相关法规和标准。相关知识——2.3数据库的审计功能审计功能的实现方式：相关知识——2.3数据库的审计功能开启MySQL审计功能的步骤和方法：03子任务1子任务2-1限定IP访问1）测评内容：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；安全加固措施：建议设定终端接入方式或设置网络地址范围，只允许特定IP或地址段进行登录。只允许公司内网通过ssh远程登录。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-1限定IP访问04子任务2子任务1-2Windows下MySQL配置SSL1）测评内容：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；安全加固措施：建议设定终端接入方式或设置网络地址范围，只允许特定IP或地址段进行登录。只允许公司内网通过ssh远程登录。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2Windows下MySQL配置SSL经验分享Windows下MySQL配置SSL的经验技巧在Windows中，my.ini文件可能在“C:\ProgramData\MySQL\MySQLServer8.1”或者“C:\ProgramFiles\MySQL\MySQLServer8.1”目录下。不同的电脑安装情况，可能会有不同的目录。在原始目录一般不允许编辑my.ini文件。先把文件my.ini复制到桌面，在桌面中修改完成my.ini后，再复制和粘贴回原来目录下，以覆盖my.ini文件。05子任务3子任务2-3开启审计功能2）测评内容：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。安全加固措施：建议数据库开启安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务2-3开启审计功能知识链接MySQL上配置审计的一些参数说明MySQL上配置审计的一些参数说明