网络信息安全基础（AIGC版） 教学课件 项目八 数据库的安全配置

任务1数据库用户与权限管理——项目八

数据库的安全配置电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02理解数据库安全用户的管理子任务1用户身份标识和鉴别03子任务2配置登录失败处理功能04子任务3管理用户的帐户和口令05子任务4对登录用户分配账户和权限0601任务规划任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。1）测评内容：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。安全加固措施：建议身份密码登录，身份标识具有唯一性，身份鉴别信息具有复杂度要求，密码长度最少为8位，密码由数字、字母大小写、特殊符号组成、并设置定期更换，更换时间最长为90天。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。2）测评内容：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。安全加固措施：建议数据库配置登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，可采取登录失败五次锁定三十分钟；登录超时设置为30分钟自动退出。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。3）测评内容：应重命名或删除默认账户，修改默认账户的默认口令安全加固措施：应重命名或删除默认账户，修改默认账户的默认口令4）测评内容：应及时删除或停用多余的、过期的账户，避免共享账户的存在。安全加固措施：建议删除或停用多余的、过期的账户，避免共享账户的存在；根据需要创建每个人员对应的账户。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的安全加固。5）测评内容：应对登录的用户分配账户和权限；应授予管理用户所需的最小权限，实现管理用户的权限分离。安全加固措施：建议对登录用户由管理员分配账户和权限，也就是建议建立、操作员、审计员、安全管理员等角色，安全管理为制定安全策略人员、操作员为日常操作用户、审计员只需具有审计日志查看权限；实现用户所需权限最小化，和管理用户权限分离。本任务的环境Windows10操作系统，已经安装OpenSSL和MySQL8.1数据库。“02相关知识相关知识——2.1理解数据库安全相关知识——2.1理解数据库安全什么是信息安全等级保护？信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作。在我国，信息安全等级保护广义上为涉及该工作的标准、产品、系统、信息等均依据等级保护思想的安全工作；狭义上一般指信息系统安全等级保护。在做信息安全等级保护时，数据库的等级保护也是一项必不可少的工作。相关知识——2.1理解数据库安全信息安全等级保护相关知识——2.1理解数据库安全什么是数据库安全？数据库安全是指一系列措施和实践，旨在保护数据库管理系统（DBMS）中的敏感数据免受未经授权的访问、泄露、篡改或破坏。数据库安全的目标是确保数据的机密性、完整性和可用性。相关知识——2.1理解数据库安全以下是数据库安全的几个关键方面：1）访问控制：通过用户认证和权限分配，限制对数据库的访问。只有授权用户才能访问或操作数据。2）数据加密：使用加密技术保护存储和传输中的数据，防止敏感信息被未授权者读取。3）安全配置：确保数据库系统和相关应用程序的配置符合安全标准，例如关闭不必要的服务和端口，更新和修补已知的安全漏洞。4）监控和审计：实时监控系统以跟踪对数据库的所有访问和操作，以及定期进行安全审计，以发现并解决潜在的安全问题。相关知识——2.1理解数据库安全以下是数据库安全的几个关键方面：5）备份与恢复：定期备份数据库，并确保备份数据的安全存储，同时制定有效的数据恢复计划，以应对数据丢失或损坏的情况。6）网络隔离：通过防火墙、VPN和其他网络安全措施，限制和监控对数据库的网络访问。7）应用安全：确保与数据库交互的应用程序遵循安全编码实践，防止SQL注入等攻击。8）物理安全：保护数据库服务器所在的物理位置，防止非法物理访问和篡改。相关知识——2.1理解数据库安全以下是数据库安全的几个关键方面：9）数据脱敏：在开发和测试环境中使用脱敏数据，以防止敏感信息泄露。10）合规性：遵守相关的法律法规和行业标准，如GDPR、HIPAA等，确保数据处理活动合法合规。相关知识——2.1理解数据库安全数据库安全是一个多层次、多方面的领域，需要综合考虑技术、人员和流程等因素，以构建一个全面的安全防护体系。如果通俗地说，可以从以下四个方面来解释：哪个用户：MySQL提供了用户账号，只允许合法的用户登录。从什么途径：MySQL对用户的访问途径做出了限制，例如只允许从指定IP登录。对什么资源：指定可以访问的资源，包括数据库、表、列、存储函数或者存储过程。例如可以访问哪一个数据库，哪些表，哪一列或者哪一个存储过程。做什么操作：指定具体的操作，例如查询、修改、删除还是更新数据。好学深思认识信息安全等级保护，按要求做好信息安全等级保护。信息安全等级保护是指根据我国《信息安全等级保护管理办法》的规定，对各类信息系统按照其重要程度和保密需求进行分级，并制定相应的技术和管理措施，确保信息系统的安全性、完整性、可用性。根据等级不同，信息安全等级保护分为一到五级，一级为最低级别，五级为最高级别。等级越高，保护要求越严格，技术和管理措施也相应加强。好学深思认识信息安全等级保护，按要求做好信息安全等级保护。读者可以通过以下标准了解更多相关信息：《计算机信息系统安全等级保护划分准则》（GB17859-1999）

（基础类标准）《信息系统安全等级保护实施指南》

（GB/T25058-2010）

（基础类标准）《信息系统安全保护等级定级指南》

（GB/T22240-2008）

（应用类定级标准）《信息系统安全等级保护基本要求》

（GB/T22239-2008）

（应用类建设标准）相关知识——2.2用户的管理相关知识——2.2用户的管理在实际的操作中，一般不在mysql.user表和mysql.tables_priv表这些数据表中直接操作，而是通过一组SQL语句来实现安全管理。用户登录方面有三种方式：MySQL本地登录、MySQL远程登录、MySQL本地和远程的组合登录。登录方式登录特点MySQL本地登录只能在服务器主机上登录。适用于服务器上的应用程序或服务。通常用于服务器管理任务。MySQL远程登录可以从任何可以访问服务器IP的地点登录。适用于分布式团队或远程工作的需要。需要配置用户权限以允许远程主机访问。MySQL本地和远程组合登录-结合了本地和远程登录的特点。可以为不同的用户或应用程序设置不同的访问权限。允许特定用户从本地或特定远程主机登录。相关知识——2.2用户的管理在MySQL中，可以通过指定主机名与用户名的组合来控制登录方式。例如，root用户可以被授权在本地主机（通常使用localhost或服务器的主机名）登录，或者从任何远程主机登录（使用%作为通配符表示任何IP地址），或者从特定的远程主机登录（使用具体的IP地址或IP范围）。相关知识——2.2用户的管理1）本地登录MySQL对于本地登录MySQL，通常不需要指定主机名（host），因为默认就是localhost（或）。mysql-u用户名-p-u后面是MySQL用户名。-p表示输入密码，执行后系统会提示用户输入密码。-举例：如果用户名是root，可以通过以下命令尝试登录：mysql-uroot-p相关知识——2.2用户的管理2）远程登录MySQL对于远程登录MySQL，需要指定MySQL服务器的主机名（或IP地址）以及端口（如果需要的话，默认是3306）。基本语法如下：mysql-h主机名或IP地址-P端口号-u用户名-p-h后面是MySQL服务器的主机名或IP地址。-P后面是MySQL服务器的端口号（注意是大写的P）。-u后面是MySQL用户名。-p表示将输入密码，执行后系统会提示用户输入密码。举例：假设MySQL服务器的主机IP是00，端口是默认的3306，用户名是remote_user，可以通过以下命令尝试登录：mysql-h00-P3306-uremote_user-p相关知识——2.2用户的管理3）管理MySQL用户的语法MySQL用户管理涉及多个方面，包括创建用户、查看用户、修改用户密码、重命名用户、删除用户以及授予和撤销用户权限等。以下是MySQL用户管理的主要语法：##创建用户CREATEUSER'用户名'@'主机名'IDENTIFIEDBY'密码';##修改当前用户密码SETPASSWORD=PASSWORD('新密码');ALTERUSERUSER()IDENTIFIEDBY'新密码';##MySQL5.7.6及以上版本语法相关知识——2.2用户的管理3）管理MySQL用户的语法##修改其他用户的密码SETPASSWORDFOR'用户名'@'主机名'=PASSWORD('新密码');ALTERUSER'用户名'@'主机名'IDENTIFIEDBY'新密码';##MySQL5.7.6及以上版本语法##重命名用户RENAMEUSER'oldusername'@'localhost'TO'newusername'@'localhost';##删除用户DROPUSER'用户名'@'主机名';相关知识——2.2用户的管理3）管理MySQL用户的语法主机名是指定用户可以从哪个主机连接到MySQL服务器。localhost表示只能从本地机器连接，%表示可以从任何主机连接。以下是举例：##创建用户。创建了一个名为newuser的用户，该用户只能从本地机器通过密码password123连接到MySQL服务器。CREATEUSER'newuser'@'localhost'IDENTIFIEDBY'password123';##查看用户USEmysql;SELECTuser,hostFROMuser;##修改密码。将newuser用户的密码更改为newpassword123ALTERUSER'newuser'@'localhost'IDENTIFIEDBY'newpassword123';03子任务1子任务1-1用户身份标识和鉴别1）测评内容：应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要求并定期更换。安全加固措施：建议身份密码登录，身份标识具有唯一性，身份鉴别信息具有复杂度要求，密码长度最少为8位，密码由数字、字母大小写、特殊符号组成、并设置定期更换，更换时间最长为90天。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-1用户身份标识和鉴别知识链接——密码复杂度插件的参数说明validate_password_check_user_name，ON为打开validate_password_dictionary_file用于配置密码的字典文件，当validate_password_policy设置为STRONG时可以配置密码的字典文件，字典文件中存在的密码不得使用validate_password_length用来设置密码的最小长度，默认值是8最小是0validate_password_mixed_case_count当validate_password_policy设置为MEDIUM或者STRONG时，密码中至少同时拥有的小写和大写字母的数量，默认是1最小是0；默认是至少拥有一个小写和一个大写字母。validate_password_number_count当validate_password_policy设置为MEDIUM或者STRONG时，密码中至少拥有的数字的个数，默认1最小是0validate_password_special_char_count当validate_password_policy设置为MEDIUM或者STRONG时，密码中至少拥有的特殊字符的个数，默认1最小是004子任务2子任务1-2配置登录失败处理功能2）测评内容：应具有登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施。安全加固措施：建议数据库配置登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施，可采取登录失败五次锁定三十分钟；登录超时设置为30分钟自动退出。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-2配置登录失败处理功能知识链接——数据库连接超时参数connection_control_failed_connections_threshold：在服务器增加后续连接尝试的延迟之前，允许客户端进行的连续失败连接尝试的次数。connection_control_min_connection_delay：对于超出阈值的每个连续连接失败，要添加的延迟量，1800000毫秒（即30分钟）。connection_control_max_connection_delay：要添加的最大延迟。知识链接——数据库等待连接参数wait_timeout定义了非交互式连接在关闭之前等待活动的秒数。默认值可能因MySQL版本和配置而异，但通常是28800秒（8小时）。这将其设置为1800秒（30分钟），意味着如果一个非交互式连接在30分钟内没有活动，MySQL将关闭它。interactive_timeout定义了交互式连接在关闭之前等待活动的秒数。connect_timeout定义了服务器等待客户端连接的秒数。将其设置为10秒，这意味着如果MySQL服务器在10秒内没有从客户端接收到完整的连接请求，它将放弃该连接尝试。05子任务3子任务1-3管理用户的帐户和口令3）测评内容：应重命名或删除默认账户，修改默认账户的默认口令安全加固措施：应重命名或删除默认账户，修改默认账户的默认口令4）测评内容：应及时删除或停用多余的、过期的账户，避免共享账户的存在。安全加固措施：建议删除或停用多余的、过期的账户，避免共享账户的存在；根据需要创建每个人员对应的账户。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-3管理用户的帐户和口令06子任务4子任务1-4

对登录用户分配账户和权限5）测评内容：应对登录的用户分配账户和权限；应授予管理用户所需的最小权限，实现管理用户的权限分离。安全加固措施：建议对登录用户由管理员分配账户和权限，也就是建议建立、操作员、审计员、安全管理员等角色，安全管理为制定安全策略人员、操作员为日常操作用户、审计员只需具有审计日志查看权限；实现用户所需权限最小化，和管理用户权限分离。本任务已经配备详细的实训任务书，列出了相应详细的步骤，并配以图片解析。实训步骤——请查看实训任务书本任务已经配备详细的微课视频，由教师亲自以真实步骤进行演示和操作，方便读者使用和学习。实训演示——请查看微课视频子任务1-4

对登录用户分配账户和权限好学深思严格遵守授权和权限管理制度错误的授权在数据库管理中可能导致严重的后果，包括信息泄露、数据篡改、业务流程混乱和安全隐患。这些问题不仅会影响系统的正常运行，还可能对组织的安全和隐私造成重大威胁。为了避免这些后果，数据库管理员应严格遵守授权和权限管理制度，确保只有经过授权的人员能够访问敏感信息和系统。此外，定期审查和测试权限设置，及时发现和纠正错误的授权，也是保障数据库安全的重要措施。感谢聆听Thanks

课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源任务2数据库访问控制管理任务——项目八

数据库的安全配置课程设计和制作：

蓝永健电子工业出版社《网络信息安全基础》教材配套资源本课件为《网络信息安全基础（AIGC版）》配套教学资源，由编写团队精心打造。为便于教学使用，团队同步提供了丰富的辅助材料，涵盖微课视频、教学课件、实训手册、习题答案、课程思政元素、课程标准及程序源代码等。同时，教材配套超星教学示范包，支持一键克隆为网络在线课程，助力高效开展线上线下混合式教学。欢迎联系出版方订购使用。

书名：《网络信息安全基础（AIGC版）》出版社：电子工业出版社主编：蓝永健、徐龙泉副主编：高安邦、石晋阳、钟达夫参编：林俊生、黄超强、肖媚娇出版日期：2026年目录CONTENTS任务规划01相关知识02权限的管理MySQL使用SSL的步骤数据库的审计功能子任务1限定IP访问03子任务2Windows下MySQL配置SSL04子任务3开启审计功能0501任务规划任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的访问控制管理和加固。1）测评内容：应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制；安全加固措施：建议设定终端接入方式或设置网络地址范围，只允许特定IP或地址段进行登录。只允许公司内网通过ssh远程登录。任务规划根据MySQL“等保”的一些要求和测评内容，对MySQL做出相应的访问控制管理和加固。2）测评内容：应启用安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计安全加固措施：建议数据库开启安全审计功能，审计覆盖到每个用户，对重要的用户行为和重要安全事件进行审计本任务的环境Windows10操作系统，已经安装OpenSSL和MySQL8.1数据库。使用DBeaver23.2.5登录测试MySQL8.1数据库“02相关知识相关知识——2.1权限的管理相关知识——2.1权限的管理MySQL数据库权限的分类MySQL数据库权限的分类主要包括右边几种类型，每种权限都对应着不同的操作能力和数据库访问级别。相关知识——2.1权限的管理MySQL数据库权限的分类1）全局权限：这些权限适用于整个MySQL服务器实例。它们包括创建新用户、关闭服务器等操作，存储在mysql.user表中。2）数据库级别权限：这些权限仅适用于特定的数据库，例如创建和删除数据库中的表，它们存储在mysql.db表中。3）表级别权限：这些权限适用于数据库中的特定表，例如对表进行选择、插入、更新和删除操作，存储在mysql.tables_priv表中。相关知识——2.1权限的管理MySQL数据库权限的分类4）列级别权限：这些权限控制用户对表中特定列的访问，例如只能读取或写入某些列的数据，存储在mysql.columns_priv表中。5）路由级别权限：这些是针对存储过程和函数的权限，例如执行或修改存储过程和函数，存储在cs_priv表中。6）代理用户权限：允许一个用户代表另一个用户执行操作，这在某些管理操作中非常有用。相关知识——2.1权限的管理表、列和存储过程的权限设置数据库对象权限设置表SELECT,INSERT,UPDATE,DELETE,CREATE,DROP,INDEX,ALTER,CREATEVIEW,SHOWVIEW,CREATEROUTINE,ALTERROUTINE,TRIGGER,LOCKTABLES列SELECT,INSERT,UPDATE,REFERENCES存储过程CREATEROUTINE,ALTERROUTINE,EXECUTE在MySQL中，授权管理是通过GRANT和REVOKE语句来完成的。这些语句允许为用户分配或撤销数据库、表、视图、存储过程等的访问权限。相关知识——2.1权限的管理GRANT语句的使用GRANT语句用于给用户授予权限。其基本语法如下：GRANT权限列表ON数据库名.表名TO'用户名'@'主机名'[IDENTIFIEDBY'密码'][WITHGRANTOPTION];-权限列表：一个或多个权限，用逗号分隔，如SELECT,INSERT,UPDATE。-数据库名.表名：指定权限应用于哪个数据库和表。*.*表示所有数据库和表。-'用户名'@'主机名'：指定用户及其可以连接的主机。IDENTIFIEDBY‘密码’：（可选）为新用户设置密码，或在更新现有用户密码时使用。

注意，这通常不是GRANT语句的一部分，除非是在创建新用户时同时授予权限。WITHGRANTOPTION：（可选）允许用户将授予的权限授予其他用户。相关知识——2.1权限的管理GRANT语句的使用举例：授予用户john对所有数据库的SELECT和INSERT权限。GRANTSELECT,INSERTON*.*TO'john'@'localhost';相关知识——2.1权限的管理GRANT语句的使用举例：授予用户jane对salesdb数据库的employees表的SELECT、UPDATE和DELETE权限，并允许她将这些权限授予其他用户。GRANTSELECT,UPDATE,DELETEONsalesdb.employeesTO'jane'@'localhost'WITHGRANTOPTION;相关知识——2.1权限的管理REVOKE语句的使用REVOKE语句用于撤销之前通过GRANT语句授予的权限。其基本语法如下：REVOKE权限列表ON数据库名.表名FROM'用户名'@'主机名';相关知识——2.1权限的管理REVOKE语句的使用举例：撤销用户john对所有数据库的INSERT权限。举例：撤销用户jane对salesdb数据库的employees表的DELETE权限。REVOKEINSERTON*.*FROM'john'@'localhost';REVOKEDELETEONsalesdb.employeesFROM'jane'@'localhost';温馨提示学好和用好GRANT和REVOKE语句在执行GRANT和REVOKE语句时，需要有足够的权限来授予或撤销权限。使用GRANTOPTION时，请小心谨慎，因为它允许用户将权限授予其他用户，这可能会导致权限管理变得复杂。当撤销用户的权限时，这些更改会立即生效。但是，如果用户已经连接到数据库，并且已经打开了具有哪些权限的会话，那么这些会话将保持哪些权限，直到会话结束。相关知识——2.2MySQL使用SSL的步骤相关知识——2.2MySQL使用SSL的步骤SSL（SecureSocketsLayer）的主要作用：1）数据加密：SSL可以对传输的数据进行加密，确保数据在网络中传输时不被第三方窃听或篡改。2）身份验证：SSL可以验证服务器的身份，确保客户端连接到的是正确的服务器，而不是一个伪装的服务器（即防止中间人攻击）。3）数据完整性：SSL可以确保数据在传输过程中没有被篡改，如果数据在传输过程中被修改，接收方可以检测到这种变化。4）防止重放攻击：SSL协议中包含机制来防止攻击者重放之前捕获的数据包。相关知识——2.2MySQL使用SSL的步骤配置MySQL以使用SSL的基本步骤1）生成SSL证书和密钥：打开命令行工具，使用OpenSSL命令生成SSL证书和私钥，但也可以使用第三方证书颁发机构（CA）签发的证书。物理访问和篡改。opensslreq-newkeyrsa:2048-nodes-keyoutserver-key.pem-x509-days365-outserver-cert.pem-这一条命令会生成一个2048位的RSA私钥（server-key.pem）和一个自签名的X.509证书（server-cert.pem），有效期为365天相关知识——2.2MySQL使用SSL的步骤配置MySQL以使用SSL的基本步骤2）配置MySQL服务器：在MySQL的配置文件（通常是f或my.ini）中，启用SSL并指定证书文件和密钥文件的位置。[mysqld]ssl-ca=/path/to/ca.pem#CA证书的路径，如果是自签名证书，则不需要ssl-cert=/path/to/server-cert.pem#服务器证书的路径ssl-key=/path/to/server-key.pem#服务器私钥的路径相关知识——2.2MySQL使用SSL的步骤配置MySQL以使用SSL的基本步骤3）重启MySQL服务器：使用系统服务命令或MySQL的特定命令来重启服务器。4）配置客户端：在客户端连接到MySQL服务器时，需要指定SSL选项，以确保使用SSL连接。5）检查SSL连接。相关知识——2.3数据库的审计功能相关知识——2.3数据库的审计功能审计功能的作用：追踪用户操作：审计功能可以记录用户对数据库的操作，包括登录、查询、修改、删除等操作，以便进行安全审计和追溯。发现潜在的安全风险：通过审计日志，管理员可以追踪用户的操作行为，发现潜在的安全风险，如未授权的访问、非法的操作等，并及时采取措施进行防范。保护敏感数据：审计功能有助于保护数据库中的敏感数据，防止数据泄露和非法访问。满足合规性要求：对于一些行业或组织，如金融、医疗等，数据库安全审计是符合合规性要求的重要措施。通过审计功能，可以确保数据库操作符合相关法规和标准。相关知识——2.3数据库的审计功能审计功能的实现方式：相关知识——2.3数据库的审计功能开启MySQL审计功能的步骤和方法：03子任务1子任务2-1限定IP访问1）测评内容：应通过设定终端接入方式或网络地址范围对通过网络进行管理的