1、身份鉴别 (6)
a、对登录操作系统和数据库系统的用户进行身份标识和鉴别
1、use mysql
select user,password from user
所有user的password字段不为空
#用户登录操作系统时需提供身份标识和鉴别信息。
b、 用户身份标识应具有不易被冒用的特点,口令有复杂度要求并定期更换
1、询问管理员使用的口令的复杂度,并且是否定期进行更换
#用户口令长度8位,至少由字母、数字及字符两种以上组合
#定期更换口令
#登录口令为16位,由大小写字母及数字组成,每3个月更换一次。
c、启用登录失败处理功能,采取结束会话、限制非法登录次数和自动推出等措施
1、询问数据库管理员,是否有登录失败处理措施(MySQL默认无该功能)
#my.ini文件中max_connect_errors参数的值,经确认,错误范围不包括密码错误,因此默认情况下无该功能
#使用第三方技术实现登录失败处理功能
#用户连续登录失败10次,登录帐号被锁定
d、对服务器进行远程管理时,采取相应的措施,防止鉴别信息在网络传输的过程中被窃听
1、询问管理员通过何种方式管理数据库
#使用的管理工具应能对网络传输的数据进行加密
#采用SSH方