等保2.0测评手册之Mysql.pdfVIP

控制点安全要求要求解读

a)应对登录的用户进行身份标识和鉴别，身应检查MySQL数据库的口令策略配置，查看其身份鉴

份标识具有唯性，身份鉴别信息具有复杂别信息是否具有不易被冒用的特点，例如，口令足够

度要求并定期更换长，口今复杂(如规定字符应混有大,小写字母数字和特

殊字符)，口令定期更新，新旧口令的替换要求

应检查数据库系统，查看是否已配置了鉴别失败处理

b)应具有登录失败处理功能，应配置并启用功能，并设置了非法登录次数的限制值，对超过限制

身份鉴别结束会话、限制非法登录次数和当登录连接

值的登录终止其鉴别会话或临时封闭帐号。查看是否

超时自动退出等相关措施

设置网络登录连接超时，并自动退出

为了防止包括鉴别信息在内的敏感信息在网络传输过

c)当进行远程管理时，应采取必要措施、防程中被窃听，应限制从远程管理数据，如果使用了远

止鉴别信息在网络传输过程中被窃听

程访问，要确保只有定义的主机才可以访问服务器，

般通过TCPwrappers、iptables或任何其它的防火墙

软件或硬件实现

d)应采用口令、密码技术、生物技术等两种

或两种以上组合的鉴别技术对用户进行身份MySQL不能集成其他身份鉴别措施，应通过对操作系

鉴别，且其中种鉴别技术至少应使用密码统层面实现双因素，强化数据库安全

技术来实现

访谈管理员数据库用户账户及权限分配情况，并测试

网络管理员、安全管理员、系统管理员或核查用户账

户和权限设置的情况，有些mysql数据库的匿名用户的

a)应对登录的用户分配账户和权限口令为空，因而，任何人都可以连接到这些数据库。

如果匿名帐户grants存在，那么任何人都可以访问数据

库，至少可以使用默认的数据库”test“.因此，应核查是

否已禁用匿名、默认账户的访问权限

在linux中，root用户拥有对所有数据库的完全访问权

b)应重命名或删除默认账户，修改默认账户。因而，在linux的安装过程中，定要设置root口令，

的默认口令

要改变默认的空口令

在默认安装mysql中，匿名户可访问test数据库.我们可

c)应及时删除或停用多余的、过期的账户，以移除任何无用的数据库，以避免在不可预料的情况

避免共享账户的存在