
账户与权限管理禁用默认账户如root远程登录遵循最小权限原则按需分配用户权限定期审计账户清理无效或过期账户密码策略强化启用密码复杂度要求长度、特殊字符设置密码过期周期和历史记录限制禁止明文密码存储使用SHA-256或caching_sha2_password插件网络与连接安全限制MySQL监听IP仅绑定内网或必要接口启用SSL/TLS加密通信配置防火墙规则限制访问来源IP数据加密保护对敏感字段使用AES_ENCRYPT等函数加密启用透明数据加密TDE保护表空间文件备份数据时强制加密存储审计与日志监控开启通用查询日志和二进制日志部署第三方审计工具如Audit Plugin实时监控异常登录和SQL注入尝试服务配置加固禁用LOAD DATA LOCAL等高风险功能设置secure_file_priv限制文件读写路径关闭不必要的存储引擎和插件防注入与输入过滤使用预处理语句Prepared Statements对应用层输入进行严格校验和转义部署WAF拦截恶意SQL请求补丁与版本管理定期升级至最新稳定版本订阅CVE公告及时修复已知漏洞避免使用已弃用的功能或语法备份与灾难恢复自动化加密备份并离线存储定期测试备份文件可恢复性制定RTO/RPO明确的恢复流程操作系统层加固以非root用户运行MySQL进程限制操作系统文件权限如my.cnf启用SELinux/AppArmor等安全模块