工業(yè)互聯(lián)網(wǎng)安全 課件 任務(wù)4 工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全配置

任務(wù)4工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全配置工業(yè)數(shù)據(jù)是工業(yè)互聯(lián)網(wǎng)核心要素，一旦生成、存儲(chǔ)和流動(dòng)，數(shù)據(jù)就變?yōu)橐环N資產(chǎn)，需要明確其安全能力需求，進(jìn)而采取相應(yīng)的安全保護(hù)措施，以防范各種安全風(fēng)險(xiǎn)。任務(wù)描述講解在Linux系統(tǒng)中對(duì)MySQL數(shù)據(jù)庫(kù)的安全與基礎(chǔ)配置方法工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)交換安全1（1）工業(yè)數(shù)據(jù)導(dǎo)入導(dǎo)出安全工業(yè)數(shù)據(jù)的導(dǎo)入、導(dǎo)出過(guò)程可能會(huì)危害數(shù)據(jù)的可用性與完整性，也存在泄露風(fēng)險(xiǎn)。此時(shí)應(yīng)根據(jù)工業(yè)數(shù)據(jù)的分類分級(jí)，制定需導(dǎo)入導(dǎo)出數(shù)據(jù)的安全策略，包括訪問(wèn)控制、一致性保證、審計(jì)與日志管理等策略。此外，還應(yīng)規(guī)定導(dǎo)出數(shù)據(jù)介質(zhì)的命名規(guī)則、標(biāo)識(shí)屬性等標(biāo)識(shí)，定期對(duì)導(dǎo)出工業(yè)數(shù)據(jù)的完整性與可用性進(jìn)行驗(yàn)證。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)交換安全1（2）工業(yè)數(shù)據(jù)共享與發(fā)布安全工業(yè)數(shù)據(jù)共享是由工業(yè)業(yè)務(wù)系統(tǒng)及相關(guān)產(chǎn)品為外部客戶提供數(shù)據(jù)或與第三方合作伙伴交換數(shù)據(jù)。執(zhí)行對(duì)數(shù)據(jù)交換過(guò)程的安全風(fēng)險(xiǎn)控制，以實(shí)現(xiàn)對(duì)數(shù)據(jù)價(jià)值保護(hù)的有效性、對(duì)法律法規(guī)的符合性。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)交換安全1（3）工業(yè)數(shù)據(jù)交換監(jiān)控工業(yè)數(shù)據(jù)交換可能存在數(shù)據(jù)濫用、數(shù)據(jù)泄露等風(fēng)險(xiǎn)，應(yīng)對(duì)高風(fēng)險(xiǎn)數(shù)據(jù)交換操作進(jìn)行監(jiān)控。比如，對(duì)重要工業(yè)數(shù)據(jù)、用戶信息等數(shù)據(jù)的外發(fā)行為、數(shù)據(jù)流量、交換服務(wù)接口調(diào)用事件等信息進(jìn)行實(shí)時(shí)記錄。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)存儲(chǔ)安全2（1）工業(yè)領(lǐng)域數(shù)據(jù)庫(kù)的選擇工業(yè)數(shù)據(jù)存儲(chǔ)涉及多種數(shù)據(jù)庫(kù)，涵蓋關(guān)系型數(shù)據(jù)庫(kù)、分布式數(shù)據(jù)庫(kù)、工業(yè)實(shí)時(shí)數(shù)據(jù)庫(kù)（時(shí)序數(shù)據(jù)庫(kù)）、非關(guān)系型數(shù)據(jù)庫(kù)、內(nèi)存數(shù)據(jù)庫(kù)等多種類型。不同類型的工業(yè)數(shù)據(jù)對(duì)數(shù)據(jù)存儲(chǔ)所需的數(shù)據(jù)庫(kù)也不同。知識(shí)導(dǎo)入關(guān)系型數(shù)據(jù)庫(kù)的選擇工業(yè)數(shù)據(jù)存儲(chǔ)和管理方面，仍可在某些應(yīng)用領(lǐng)域中采用Oracle、SQLServer、MySQL、Postgress等關(guān)系型數(shù)據(jù)庫(kù)。關(guān)系型數(shù)據(jù)庫(kù)的顯著特征之一就是以關(guān)系數(shù)據(jù)模型來(lái)組織數(shù)據(jù)，該模型包括關(guān)系數(shù)據(jù)結(jié)構(gòu)、關(guān)系操作集合與關(guān)系完整性約束。知識(shí)導(dǎo)入分布式數(shù)據(jù)庫(kù)的選擇在工業(yè)互聯(lián)網(wǎng)中，針對(duì)海量工業(yè)數(shù)據(jù)、海量工業(yè)用戶、高可靠、高性能、高并發(fā)和可水平擴(kuò)展性等需求，也可以選用分布式數(shù)據(jù)庫(kù)系統(tǒng)。DDBS由分布式數(shù)據(jù)庫(kù)管理系統(tǒng)和分布式數(shù)據(jù)庫(kù)所構(gòu)成。實(shí)時(shí)數(shù)據(jù)庫(kù)的選擇實(shí)時(shí)數(shù)據(jù)庫(kù)是工業(yè)現(xiàn)場(chǎng)的實(shí)時(shí)控制、數(shù)據(jù)采集等系統(tǒng)的核心支撐軟件，用于反映現(xiàn)場(chǎng)實(shí)時(shí)運(yùn)行狀況，是工業(yè)現(xiàn)場(chǎng)SCADA、DCS等工業(yè)網(wǎng)絡(luò)與企業(yè)ERP等管理網(wǎng)絡(luò)相結(jié)合、構(gòu)建二者之間溝通橋梁的關(guān)鍵所在。工業(yè)實(shí)時(shí)數(shù)據(jù)庫(kù)必須同時(shí)具備事件觸發(fā)和定時(shí)觸發(fā)這兩種處理能力，以維護(hù)系統(tǒng)的實(shí)時(shí)性和穩(wěn)定性。知識(shí)導(dǎo)入時(shí)序數(shù)據(jù)庫(kù)的選擇嚴(yán)格意義上說(shuō)，工業(yè)時(shí)序數(shù)據(jù)庫(kù)的本質(zhì)為工業(yè)實(shí)時(shí)數(shù)據(jù)庫(kù)的數(shù)據(jù)存儲(chǔ)部分。工業(yè)生產(chǎn)過(guò)程中，大量的傳感數(shù)據(jù)及控制數(shù)據(jù)均具備時(shí)序空間特性，即時(shí)序數(shù)據(jù)。工業(yè)時(shí)序數(shù)據(jù)庫(kù)在工控設(shè)備狀態(tài)監(jiān)控、工業(yè)產(chǎn)品制造質(zhì)量?jī)?yōu)化等流程工業(yè)領(lǐng)域應(yīng)用優(yōu)勢(shì)明顯。工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)存儲(chǔ)安全2（2）基于NoSQL的工業(yè)數(shù)據(jù)可伸縮存儲(chǔ)架構(gòu)工業(yè)互聯(lián)網(wǎng)的數(shù)據(jù)堪稱海量，工業(yè)大數(shù)據(jù)高并發(fā)寫入，傳統(tǒng)的關(guān)系型數(shù)據(jù)庫(kù)在工業(yè)大數(shù)據(jù)處理方面彰顯出性能瓶頸與不足，存在容量不足、讀寫瓶頸、數(shù)據(jù)易失、擴(kuò)展受限、恢復(fù)困難等問(wèn)題，針對(duì)大規(guī)模和高并發(fā)非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)和管理，可選擇使用可伸縮存儲(chǔ)架構(gòu)的非關(guān)系型數(shù)據(jù)庫(kù)(NotOnlySQL，NoSQL)。知識(shí)導(dǎo)入工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)存儲(chǔ)安全2（3）工業(yè)數(shù)據(jù)訪問(wèn)控制及權(quán)限管理工業(yè)大數(shù)據(jù)平臺(tái)需要建立統(tǒng)一的數(shù)據(jù)權(quán)限管理機(jī)制，結(jié)合存儲(chǔ)訪問(wèn)與控制手段，實(shí)現(xiàn)各類工業(yè)數(shù)據(jù)存儲(chǔ)系統(tǒng)的訪問(wèn)權(quán)限管理，包括各類用戶的身份標(biāo)識(shí)與鑒別、工業(yè)數(shù)據(jù)訪問(wèn)控制、數(shù)據(jù)擴(kuò)容及復(fù)制等內(nèi)容。知識(shí)導(dǎo)入工業(yè)數(shù)據(jù)訪問(wèn)控制的權(quán)限決定因素知識(shí)導(dǎo)入決定因素概要說(shuō)明詳細(xì)說(shuō)明工業(yè)數(shù)據(jù)用戶類型根據(jù)對(duì)工業(yè)互聯(lián)網(wǎng)的使用需求或管理功能，對(duì)用戶進(jìn)行分類系統(tǒng)管理員對(duì)各類數(shù)據(jù)系統(tǒng)擁有最高權(quán)限，可訪問(wèn)所有數(shù)據(jù)資源，具備全部訪問(wèn)操作權(quán)限普通用戶由系統(tǒng)管理員分配訪問(wèn)操作權(quán)限系統(tǒng)審計(jì)員負(fù)責(zé)審計(jì)系統(tǒng)安全控制與數(shù)據(jù)使用情況工業(yè)數(shù)據(jù)分類工業(yè)互聯(lián)網(wǎng)中需要保護(hù)的各類工業(yè)數(shù)據(jù)磁盤、陣列、終端、數(shù)據(jù)庫(kù)及處于其中的各類工業(yè)數(shù)據(jù)工業(yè)數(shù)據(jù)使用針對(duì)待保護(hù)工業(yè)數(shù)據(jù)定義的訪問(wèn)控制包工業(yè)數(shù)據(jù)名稱及其擁有者的標(biāo)識(shí)符、缺省訪問(wèn)權(quán)限、用戶及用戶組的特權(quán)明細(xì)表等訪問(wèn)規(guī)則定義了準(zhǔn)許訪問(wèn)某工業(yè)數(shù)據(jù)的條件訪問(wèn)規(guī)則實(shí)現(xiàn)了用戶與工業(yè)數(shù)據(jù)資源的匹配，指定某類型用戶對(duì)相應(yīng)數(shù)據(jù)資源的操作權(quán)限MySQL安全配置任務(wù)實(shí)施【任務(wù)目的】學(xué)習(xí)Linux下的MySQL的安裝與基礎(chǔ)配置；重點(diǎn)學(xué)習(xí)MySQL的安全配置。【使用工具】主操作平臺(tái)：centos7.564位，已下載MySQL5.7rpm安裝包測(cè)試機(jī)：Windows7（可選環(huán)境，可用于訪問(wèn)MySQL，驗(yàn)證配置是否有效）登錄到Linux服務(wù)器，輸入命令代碼，切換root用戶?！静襟E1】

安裝MySQL5.7服務(wù)器sudo-i使用ls查看路徑，可以看到MySQL的各種安裝包MySQL安裝包說(shuō)明mysql-community-server數(shù)據(jù)庫(kù)服務(wù)器和相關(guān)工具mysql-community-clientMySQL客戶端應(yīng)用程序和工具mysql-community-common服務(wù)器和客戶端庫(kù)的通用文件mysql-community-devel為MySQL數(shù)據(jù)庫(kù)客戶端應(yīng)用程序開發(fā)頭文件和庫(kù)mysql-community-libsMySQL數(shù)據(jù)庫(kù)客戶端應(yīng)用程序的共享庫(kù)mysql-community-libs-compat以前MySQL安裝的共享兼容性庫(kù)mysql-community-embeddedMySQL嵌入式庫(kù)mysql-community-embedded-devel將MySQL的頭文件和庫(kù)開發(fā)為可嵌入庫(kù)mysql-community-testMySQL服務(wù)器測(cè)試套件0102開始安裝MySQL服務(wù)器，在服務(wù)器端通常只需要安裝server、client、common、libs這幾個(gè)安裝包，安裝MySQL服務(wù)器的命令：【步驟1】

安裝MySQL5.7服務(wù)器yuminstallmysql-community-{server,client,common,libs}-*完成MySQL服務(wù)器的安裝，執(zhí)行代碼，啟動(dòng)MySQL服務(wù)器。systemctlstartmysqld03MySQL安裝釋放路徑文件和資源路徑客戶端程序和腳本/usr/binmysqld服務(wù)器/usr/sbin配置文件/etc/f數(shù)據(jù)目錄/var/lib/mysql錯(cuò)誤日志文件對(duì)于RHEL，OracleLinux，CentOS或Fedora平臺(tái)：/var/log/mysqld.log對(duì)于SLES：/var/log/mysql/mysqld.logsecure_file_priv的價(jià)值/var/lib/mysql-filesSystemVinit腳本對(duì)于RHEL，OracleLinux，CentOS或Fedora平臺(tái)：/etc/init.d/mysqld對(duì)于SLES：/etc/init.d/mysql系統(tǒng)服務(wù)對(duì)于RHEL，OracleLinux，CentOS或Fedora平臺(tái)：mysqld對(duì)于SLES：mysqlMySQL安裝釋放路徑(續(xù)）文件和資源路徑Pid文件/var/run/mysql/mysqld.pid插座/var/lib/mysql/mysql.sock密鑰環(huán)目錄/var/lib/mysql-keyringUnix手冊(cè)頁(yè)/usr/share/man包含（標(biāo)題）文件/usr/include/mysql圖書館/usr/lib/mysql其他支持文件（例如，錯(cuò)誤消息和字符集文件）/usr/share/mysqlPid文件/var/run/mysql/mysqld.pid輸入命令代碼，查看是否成功啟動(dòng)MySQL服務(wù)?！静襟E2】

查看服務(wù)運(yùn)行情況ss-lntp|grep3306通過(guò)代碼查看進(jìn)程的運(yùn)行詳細(xì)情況。ps-ef|grepmysqld0102輸入命令代碼，查看MySQL安裝日志中MySQL數(shù)據(jù)庫(kù)的默認(rèn)口令?！静襟E3】

修改默認(rèn)口令，登錄MySQLcat/var/log/mysqld.log|greppassword查尋安裝日志，可以看到MySQL數(shù)據(jù)庫(kù)的默認(rèn)口令。0102輸入命令代碼，登錄MySQL?！静襟E3】

修改默認(rèn)口令，登錄MySQLmysql-uroot-p輸入MySQL數(shù)據(jù)庫(kù)密碼，登錄MySQL數(shù)據(jù)庫(kù)0304輸入命令代碼，更改MySQL數(shù)據(jù)庫(kù)密碼【步驟3】

修改默認(rèn)口令，登錄MySQLalteruserroot@localhostidentifiedby'P@ssw0rd';輸入quit命令，退出MySQL數(shù)據(jù)庫(kù)。使用修改后的新密碼再次登錄MySQL數(shù)據(jù)庫(kù)，輸入命令showdatabases;查看MySQL數(shù)據(jù)庫(kù)中的數(shù)據(jù)表0506輸入代碼，查看MySQL數(shù)據(jù)庫(kù)的版本【步驟4】

檢查MySQL數(shù)據(jù)庫(kù)版本selectversion();輸入代碼，查看MySQL數(shù)據(jù)庫(kù)的用戶【步驟5】

檢查是否有不需要的用戶usemysql;selectuserfrommysql.user;如果存在不需要的用戶，可以使用以下命令將不需要用戶刪除。DROPUSER'username'@'host';輸入代碼，查看MySQL數(shù)據(jù)庫(kù)的密碼安全策略?！静襟E6】

查看密碼安全策略SHOWVARIABLESLIKE'validate_password%';新建數(shù)據(jù)庫(kù)【步驟7】

檢查用戶權(quán)限createdatabasetestDBdefaultcharsetutf8collateutf8_general_ci;新建數(shù)據(jù)表usetestDB;createtabletestDB_TABLE01(idint,namevarchar(20));createtabletestDB_TABLE02(idint,namevarchar(20));0102【步驟7】

檢查用戶權(quán)限新建用戶CREATEUSER'test'@'localhost'IDENTIFIEDBY'P@ssw0rd';給用戶授權(quán)GRANTSELECTONtestDB.*TOtest@localhost;GRANTUPDATEONtestDB.testDB_TABLE01TOtest@localhost;GRANTSELECT,DELETEONmysql.userTOtest@localhost;0304【步驟7】

檢查用戶權(quán)限查看用戶權(quán)限showgrantsfortest@locahost;查詢用戶的權(quán)限列表撤銷用戶權(quán)限REVOKEALLprivilegeONdatabasename.tablenameFROMusername@host;050607查看用戶能登錄的主機(jī)【步驟8】

配置IP訪問(wèn)數(shù)據(jù)庫(kù)selectuser,hostfrommysql.userwhereuser='test';登錄另一臺(tái)計(jì)算機(jī)，安裝MySQL客戶端，遠(yuǎn)程登錄yuminstallmysql-community-{server,client,common,libs}-*登錄服務(wù)器mysql-h5-utest-p010203【步驟8】

配置IP訪問(wèn)數(shù)據(jù)庫(kù)提示不允許登錄。在服務(wù)器端操作，登錄MySQL，設(shè)置允許test用戶從0登錄，并刷新權(quán)限。updatemysql.usersethost='0'whereuser='test';flushprivileges;輸入以下代碼，再次嘗試從客戶端登錄MySQL，登錄成功。mysql-h5-utest-p0405生成一個(gè)任意文件，查看是否允許load_file()函數(shù)【步驟9】

限制數(shù)據(jù)庫(kù)讀取文件echo11111111>/var/lib/mysql-files/1.txtecho22222222>/tmp/2.txt查看當(dāng)前是否允許使用loaddatainfile()讀取文件查看當(dāng)前安全路徑showglobalvariableslike"%secure%";創(chuàng)建temp數(shù)據(jù)庫(kù)createdatabasetemp;showvariableswherevariable_name="local_infile";02010403【步驟9】

限制數(shù)據(jù)庫(kù)讀取文件usetemp;createtableuser(cmdtext);在temp數(shù)據(jù)庫(kù)中創(chuàng)建user數(shù)據(jù)表0605輸入代碼insertintouser(cmd)values(load_file('/tmp/2.txt'));07從/temp讀入，報(bào)錯(cuò)insertintouser(cmd)values(load_file('/var/lib/mysql-files/1.txt'));【步驟9】

限制數(shù)據(jù)庫(kù)讀取文件select*fromuser;從/var/lib/mysql-files讀入，成功。使用另一種方式讀取文件loaddatainfile'/tmp/2.txt'intotableuser;從/temp讀入，報(bào)錯(cuò)loaddatainfile'/var/lib/mysql-files/1.txt'intotableuser;從/var/lib/mysql-files讀入，查看數(shù)據(jù)庫(kù)080910【步驟9】

限制數(shù)據(jù)庫(kù)讀取文件vim/etc/f修改MySQL配置文件在MySQL配置文件中加入代碼重啟MySQL數(shù)據(jù)庫(kù)服務(wù),發(fā)現(xiàn)值為NULLshowglobalvariableslike"%secure%";發(fā)現(xiàn)值為NULLsecure_file_priv=NULL11