各位大佬,想看那种网络设备/操作系统/数据库/中间件的测评命令清单,可在留言区留言!
依据 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》第三级”安全计算环境” 条款,结合宝兰德官方安全指南及现场测评实践。
适用产品:BES Application Server V9.x / V10.x、BES MQ、BES DataExchange、BES Container
一、BES应用服务器(BES AS)
1.1 身份鉴别
| 控制项 | 测评命令/配置 | 达标判据 |
|---|---|---|
| 管理员口令 | cat $BES_HOME/conf/admin.conf | 强口令策略 |
| 默认账户 | cat $BES_HOME/conf/users.properties | 修改默认admin口令 |
| 密码复杂度 | 控制台 → 系统管理 → 安全策略 | 长度≥8,复杂度≥3种 |
| 登录失败锁定 | 控制台 → 安全管理 → 登录控制 | 失败5次锁定30分钟 |
| 会话超时 | 控制台 → 系统管理 → 会话管理 | ≤30分钟 |
| 双因子认证 | 控制台 → 安全管理 → 认证方式 | 关键用户启用 |
BES特有配置:
# 查看BES安装路径
echo$BES_HOME
ls-la${BES_HOME:-/opt/bes}/
# 查看版本信息
cat${BES_HOME}/version.txt
cat${BES_HOME}/release 2>/dev/null
# 查看管理员配置文件
cat${BES_HOME}/conf/admin.conf
cat${BES_HOME}/conf/users.properties
# 查看角色权限配置
cat${BES_HOME}/conf/roles.xml
cat${BES_HOME}/conf/groups.properties
# 查看安全域配置
cat${BES_HOME}/conf/security-domain.xml
# 查看登录失败锁定配置
cat${BES_HOME}/conf/login-config.xml
cat${BES_HOME}/conf/lockout-policy.xml 2>/dev/null
# 查看密码策略配置
cat${BES_HOME}/conf/password-policy.xml
# 关键配置项:
# bes.password.minLength=8
# bes.password.complexity=3
# bes.password.history=12
# bes.password.maxAge=90
# bes.password.expiryWarning=7
# 查看会话超时配置
cat${BES_HOME}/conf/session-config.xml
# bes.session.timeout=30
# bes.session.invalidateOnShutdown=true
# 查看双因子认证配置(BES V10+)
cat${BES_HOME}/conf/mfa-config.xml 2>/dev/null
cat${BES_HOME}/conf/otp-config.xml 2>/dev/null
# 查看证书认证配置
cat${BES_HOME}/conf/certificate-config.xml
ls-la${BES_HOME}/conf/*.jks ${BES_HOME}/conf/*.p12
# 查看密钥库内容
keytool -list-v-keystore${BES_HOME}/conf/bes.keystore -storepass changeit 2>/dev/null |head-201.2 访问控制
# 查看控制台访问控制
cat${BES_HOME}/conf/admin-access.xml
cat${BES_HOME}/conf/management.xml |grep-E'allow|deny|bind|address'
# 查看管理接口绑定地址
cat${BES_HOME}/conf/management.xml |grep'management-bind-address'
cat${BES_HOME}/conf/management.xml |grep'management-port'
# 查看JMX访问控制
cat${BES_HOME}/conf/jmxremote.access
cat${BES_HOME}/conf/jmxremote.password
# 查看JMX SSL配置
cat${BES_HOME}/conf/jmx-ssl-config.xml 2>/dev/null
# 查看应用部署权限
ls-la${BES_HOME}/autodeploy/
ls-la${BES_HOME}/applications/
# 查看数据源配置(核查明文密码)
cat${BES_HOME}/conf/datasource.xml |grep-E'password|url|user'|head-10
# 查看是否启用密码加密
cat${BES_HOME}/conf/datasource.xml |grep-E'encrypted|encryption'
cat${BES_HOME}/conf/security.xml |grep-E'password-encryption'
# 查看EJB安全配置
cat${BES_HOME}/conf/ejb-jar.xml |grep-E'security-role|method-permission'
# 查看Web应用安全约束
cat${BES_HOME}/conf/web.xml |grep-E'security-constraint|auth-constraint|security-role'
# 查看Servlet过滤器(安全过滤)
cat${BES_HOME}/conf/web.xml |grep-A5'filter-name.*[Ss]ecurity'
# 查看资源引用安全
cat${BES_HOME}/conf/resource-ref.xml |grep-E'res-auth|res-sharing-scope'1.3 安全审计
# 查看审计日志配置
cat${BES_HOME}/conf/audit.xml
cat${BES_HOME}/conf/audit-log.properties
# 查看日志目录
ls-la${BES_HOME}/logs/
ls-la${BES_HOME}/logs/audit/
# 查看访问日志
cat${BES_HOME}/logs/access.log 2>/dev/null |tail-20
cat${BES_HOME}/logs/localhost_access_log.* 2>/dev/null |tail-20
# 查看审计日志(管理操作)
cat${BES_HOME}/logs/audit.log 2>/dev/null |tail-20
cat${BES_HOME}/logs/admin-audit.log 2>/dev/null |tail-20
# 查看安全日志
cat${BES_HOME}/logs/security.log 2>/dev/null |tail-20
# 查看登录日志
cat${BES_HOME}/logs/login.log 2>/dev/null |tail-20
grep-i"login\|logout\|fail"${BES_HOME}/logs/server.log |tail-20
# 查看日志保留策略
cat${BES_HOME}/conf/logging.properties |grep-E'rotation|size|count|days'
cat${BES_HOME}/conf/log4j.properties |grep-E'MaxFileSize|MaxBackupIndex'
# 查看日志权限
ls-la${BES_HOME}/logs/*.log |head-5
stat-c'%a %U:%G'${BES_HOME}/logs/*.log 2>/dev/null |head-5
# 查看集中审计配置(BES V10+)
cat${BES_HOME}/conf/central-audit.xml 2>/dev/null
cat${BES_HOME}/conf/syslog-appender.xml 2>/dev/null1.4 传输与存储安全
# 查看HTTPS/SSL配置
cat${BES_HOME}/conf/server.xml |grep-A10'SSL|TLS|https|keystore|truststore'
# 查看SSL协议版本(应禁用TLSv1.0/1.1)
cat${BES_HOME}/conf/ssl-config.xml |grep-E'sslProtocol|sslEnabledProtocols'
# 查看密码套件配置
cat${BES_HOME}/conf/ssl-config.xml |grep-E'ciphers|cipherSuite'
# 查看证书配置
cat${BES_HOME}/conf/server.xml |grep-E'certificateKeystoreFile|certificateKeyFile'
ls-la${BES_HOME}/conf/*.jks ${BES_HOME}/conf/*.p12 ${BES_HOME}/conf/*.pem 2>/dev/null
# 查看国密SSL配置(BES V10+国密版)
cat${BES_HOME}/conf/gmssl-config.xml 2>/dev/null
cat${BES_HOME}/conf/sm2-config.xml 2>/dev/null
# 查看证书有效期
keytool -list-v-keystore${BES_HOME}/conf/bes.keystore 2>/dev/null |grep-E'Valid from|until'
# 查看静态资源缓存控制(安全头)
cat${BES_HOME}/conf/web.xml |grep-E'Cache-Control|Pragma|Expires'
# 查看会话Cookie安全配置
cat${BES_HOME}/conf/context.xml |grep-E'httpOnly|secure|sameSite'
cat${BES_HOME}/conf/session-config.xml |grep-E'cookie-http-only|cookie-secure'
# 查看错误页面配置(防止信息泄露)
cat${BES_HOME}/conf/web.xml |grep-A5'error-page'
ls-la${BES_HOME}/webapps/ROOT/WEB-INF/classes/ |grep-i error
# 查看目录浏览配置
cat${BES_HOME}/conf/web.xml |grep-i'listings'
cat${BES_HOME}/conf/default-web.xml |grep-i'listings'二、BES消息中间件(BES MQ)
2.1 身份鉴别
| 控制项 | 测评命令/配置 | 达标判据 |
|---|---|---|
| 队列管理器认证 | cat $BES_MQ/qmgrs/QM1/qm.ini | 启用通道认证 |
| 通道认证 | dspmqaut | 限制通道访问 |
| 用户口令 | cat $BES_MQ/sas/connection.conf | 强口令策略 |
| 证书认证 | dspmqcsv | 启用TLS通道 |
| 连接认证 | cat $BES_MQ/qmgrs/QM1/config.ini | 启用连接认证 |
BES MQ特有配置:
# 查看BES MQ安装路径
echo$BES_MQ
ls-la${BES_MQ:-/opt/bes-mq}/
# 查看队列管理器状态
dspmq
dspmq -o all
# 查看队列管理器配置
cat${BES_MQ}/qmgrs/QM1/qm.ini
cat${BES_MQ}/qmgrs/QM1/config.ini
# 查看通道认证配置
dspmqaut -m QM1 -t channel -n SYSTEM.DEF.SVRCONN
dspmqaut -m QM1 -t qmgr -p appuser
# 查看通道状态
echo"DISPLAY CHSTATUS(*)"| runmqsc QM1
echo"DISPLAY CHANNEL(*)"| runmqsc QM1 |grep-E'CHANNEL|SSL|MCAUSER'
# 查看监听器配置
echo"DISPLAY LISTENER(*)"| runmqsc QM1
echo"DISPLAY LSSTATUS(*)"| runmqsc QM1
# 查看连接认证
echo"DISPLAY QMGR CONNAUTH"| runmqsc QM1
echo"DISPLAY AUTHINFO(*)"| runmqsc QM1
# 查看SSL通道配置
echo"DISPLAY CHANNEL(*) SSLCIPH SSLCAUTH"| runmqsc QM1
# 查看证书存储
dspmqcsv -m QM1
ls-la${BES_MQ}/qmgrs/QM1/ssl/
# 查看密钥库
runmqakm -cert-list-db${BES_MQ}/qmgrs/QM1/ssl/key.kdb -pw password
# 查看连接数限制
echo"DISPLAY QMGR MAXCONN"| runmqsc QM1
echo"DISPLAY CHL(*) MAXINST MAXINSTC"| runmqsc QM12.2 访问控制
# 查看队列权限
dspmqaut -m QM1 -n QUEUE1 -t queue -p appuser
echo"DISPLAY QUEUE(*) CURDEPTH MAXDEPTH"| runmqsc QM1
# 查看主题权限
dspmqaut -m QM1 -n TOPIC1 -t topic -p appuser
# 查看进程权限
dspmqaut -m QM1 -n PROCESS1 -t process -p appuser
# 查看名称列表权限
dspmqaut -m QM1 -n NAMELIST1 -t namelist -p appuser
# 查看服务权限
dspmqaut -m QM1 -n SERVICE1 -tservice-p appuser
# 查看集群权限
echo"DISPLAY CLUSQMGR(*)"| runmqsc QM1
echo"DISPLAY CHANNEL(TO.*)"| runmqsc QM1
# 查看消息权限(BES MQ V9+)
echo"DISPLAY AUTHREC PROFILE('QUEUE1') OBJTYPE(QUEUE)"| runmqsc QM1
# 查看资源权限列表
echo"DISPLAY QMGR AUTHOREV"| runmqsc QM12.3 安全审计
# 查看审计配置
echo"DISPLAY QMGR AUDIT"| runmqsc QM1
echo"DISPLAY AUTHINFO(SYSTEM.DEFAULT.AUTHINFO.IDPWOS) AUTHTYPE(IDPWOS)"| runmqsc QM1
# 查看日志配置
cat${BES_MQ}/qmgrs/QM1/errors/AMQERR01.LOG |tail-50
cat${BES_MQ}/qmgrs/QM1/errors/AMQERR02.LOG |tail-20
# 查看FFST报告(故障诊断)
ls-la${BES_MQ}/errors/*.FDC 2>/dev/null |head-5
# 查看通道日志
cat${BES_MQ}/qmgrs/QM1/errors/AMQCHL.LOG 2>/dev/null |tail-20
# 查看审计日志(如启用)
cat${BES_MQ}/qmgrs/QM1/errors/AMQAUDIT.LOG 2>/dev/null |tail-20
# 查看消息日志
cat${BES_MQ}/qmgrs/QM1/errors/AMQMSG.LOG 2>/dev/null |tail-20
# 查看系统日志
dspmqlog -m QM1 -t100
# 查看死信队列
echo"DISPLAY QUEUE(SYSTEM.DEAD.LETTER.QUEUE)"| runmqsc QM1
echo"DISPLAY QSTATUS(SYSTEM.DEAD.LETTER.QUEUE)"| runmqsc QM12.4 数据加密
# 查看通道加密配置
echo"DISPLAY CHANNEL(SYSTEM.DEF.SVRCONN) SSLCIPH"| runmqsc QM1
echo"DISPLAY CHANNEL(TO.REMOTE) SSLCIPH"| runmqsc QM1
# 查看密码套件
echo"DISPLAY QMGR SSLCRL SSLCRLN LDAPUSER LDAPPWD"| runmqsc QM1
# 查看证书撤销列表
dspmqcsv -m QM1 -r
# 查看消息加密(AMS,Advanced Message Security)
dspmqpkg -m QM1
echo"DISPLAY POLICY(*) WHERE(POLICYNAME EQ 'POLICY1')"| runmqsc QM1
# 查看队列加密属性
echo"DISPLAY QUEUE(QUEUE1) CRYPT"| runmqsc QM1
# 查看密钥库密码加密
cat${BES_MQ}/qmgrs/QM1/ssl/stash 2>/dev/null |head-1三、BES数据交换平台(BES DataExchange)
3.1 身份鉴别
| 控制项 | 测评命令/配置 | 达标判据 |
|---|---|---|
| 平台管理员 | cat $BES_DX/config/users.xml | 强口令+定期更换 |
| 节点认证 | cat $BES_DX/config/nodes.xml | 证书认证 |
| 传输加密 | cat $BES_DX/config/transport.xml | SSL/TLS或国密 |
| API认证 | cat $BES_DX/config/api-keys.xml | API密钥管理 |
BES DataExchange特有配置:
# 查看BES DataExchange安装路径
echo$BES_DX
ls-la${BES_DX:-/opt/bes-dx}/
# 查看用户配置
cat${BES_DX}/config/users.xml
cat${BES_DX}/config/roles.xml
# 查看节点配置
cat${BES_DX}/config/nodes.xml |grep-E'auth|cert|ssl|password'
# 查看交换任务配置
cat${BES_DX}/config/tasks.xml |head-50
# 查看传输配置
cat${BES_DX}/config/transport.xml |grep-E'ssl|tls|encrypt|cipher|compress'
# 查看API认证配置
cat${BES_DX}/config/api-keys.xml 2>/dev/null
cat${BES_DX}/config/oauth2.xml 2>/dev/null
# 查看国密配置
cat${BES_DX}/config/gmssl.xml 2>/dev/null
cat${BES_DX}/config/sm2-config.xml 2>/dev/null
# 查看证书库
ls-la${BES_DX}/keystore/
keytool -list-v-keystore${BES_DX}/keystore/bes-dx.jks 2>/dev/null |head-203.2 安全审计
# 查看日志目录
ls-la${BES_DX}/logs/
# 查看交换日志
cat${BES_DX}/logs/exchange.log 2>/dev/null |tail-20
# 查看审计日志
cat${BES_DX}/logs/audit.log 2>/dev/null |tail-20
# 查看传输日志
cat${BES_DX}/logs/transfer.log 2>/dev/null |tail-20
# 查看错误日志
cat${BES_DX}/logs/error.log 2>/dev/null |tail-10
# 查看数据库日志
ls-la${BES_DX}/database/logs/ 2>/dev/null
# 查看日志保留配置
cat${BES_DX}/config/logback.xml |grep-E'maxHistory|maxSize|totalSizeCap'
# 查看集中日志配置
cat${BES_DX}/config/remote-logging.xml 2>/dev/null3.3 数据安全
# 查看数据脱敏配置
cat${BES_DX}/config/desensitize.xml 2>/dev/null
# 查看数据加密配置
cat${BES_DX}/config/encryption.xml 2>/dev/null
# 查看文件类型白名单
cat${BES_DX}/config/filetypes.xml 2>/dev/null
# 查看病毒扫描配置
cat${BES_DX}/config/antivirus.xml 2>/dev/null
ls-la${BES_DX}/scanner/ 2>/dev/null
# 查看内容过滤配置
cat${BES_DX}/config/contentfilter.xml 2>/dev/null
# 查看交换数据暂存目录(应加密或受控)
ls-la${BES_DX}/temp/
ls-la${BES_DX}/cache/
stat-c'%a %U:%G'${BES_DX}/temp/ 2>/dev/null
# 查看数据保留策略
cat${BES_DX}/config/retention.xml 2>/dev/null四、BES容器平台(BES Container)
4.1 身份鉴别
# 查看BES Container安装路径
ls-la /opt/bes-container/ 2>/dev/null
ls-la /var/lib/bes-container/ 2>/dev/null
# 查看Kubernetes集成(如适用)
kubectl config view
kubectl get nodes
# 查看Docker配置
cat /etc/docker/daemon.json |grep-E'tls|cert|auth'
# 查看容器镜像安全扫描
cat /opt/bes-container/config/image-scan.conf 2>/dev/null
# 查看镜像仓库认证
cat ~/.docker/config.json 2>/dev/null |grep-E'auth|Auths'
# 查看运行时安全(BES Container Runtime)
cat /opt/bes-container/config/seccomp-default.json 2>/dev/null
cat /opt/bes-container/config/apparmor-profile 2>/dev/null4.2 访问控制
# 查看RBAC配置
kubectl get roles
kubectl get rolebindings
kubectl get clusterroles
kubectl get clusterrolebindings
# 查看网络策略
kubectl get networkpolicies
kubectl get networkpolicies -o yaml |head-50
# 查看Pod安全策略
kubectl get psp 2>/dev/null ||echo"PodSecurityPolicy已弃用"
kubectl get podsecuritypolicies 2>/dev/null
# 查看安全上下文
kubectl get pods -o yaml |grep-A10'securityContext'
# 查看资源配额
kubectl get resourcequota
kubectl get limitrange
# 查看命名空间隔离
kubectl get namespaces
kubectl get pods --all-namespaces五、通用安全检查(所有BES产品)
5.1 操作系统层安全
# 查看进程运行用户(不应是root)
ps-ef|grep-E'bes|BES'|grep-vgrep
# BES应用服务器
ps-ef|grepjava|grep-i bes |head-3
# BES MQ
ps-ef|grep-E'amq|runmq'|head-3
# BES DataExchange
ps-ef|grep-i'bes-dx\|dataexchange'|head-3
# 查看文件权限
ls-la /opt/bes*/ 2>/dev/null |head-10
# 查看配置文件权限(应640或600)
find /opt/bes* /etc/bes* -name"*.xml"-o-name"*.conf"-o-name"*.properties"2>/dev/null |xargsls-la|grep-v'rw-r-----'|grep-v'rw-------'|head-5
# 查看日志文件权限(应640)
ls-la /opt/bes*/logs/*.log 2>/dev/null |head-5
# 查看端口监听(应绑定特定IP)
ss -tulnp|grep-E'8080|8443|9060|1414|1521|61616'
# 查看JDK版本(应使用国密JDK或OpenJDK 8+)
${BES_HOME}/jdk/bin/java -version2>/dev/null ||java-version2>/dev/null |head-3
# 查看国密JDK配置
ls-la${BES_HOME}/jdk/jre/lib/ext/*gmssl* 2>/dev/null
ls-la${BES_HOME}/jdk/jre/lib/ext/*sm* 2>/dev/null5.2 国密算法支持检查
# 检查国密算法库
find /opt/bes*/ -name"*gmssl*"-o-name"*sm2*"-o-name"*sm3*"-o-name"*sm4*"2>/dev/null
# 检查国密配置文件
cat${BES_HOME}/conf/gmssl.conf 2>/dev/null
cat${BES_MQ}/ssl/gmssl.conf 2>/dev/null
cat${BES_DX}/config/gmssl.xml 2>/dev/null
# 检查密码机接入配置(如使用硬件密码机)
cat${BES_HOME}/conf/swj.conf 2>/dev/null # 三未信安
cat${BES_HOME}/conf/jit.conf 2>/dev/null # 江南天安
cat${BES_HOME}/conf/fm.conf 2>/dev/null # 飞天诚信
# 验证国密证书
openssl x509 -in${BES_HOME}/conf/sm2.crt -text-noout2>/dev/null |grep-i'sm2\|SM2'5.3 备份与恢复
# 查看配置文件备份
ls-la /backup/bes/config/ 2>/dev/null ||ls-la${BES_HOME}/backup/ 2>/dev/null
# 查看数据备份
ls-la /backup/bes/data/ 2>/dev/null
# 查看BES MQ备份
ls-la${BES_MQ}/qmgrs/QM1/backup/ 2>/dev/null
dmpmqinf -ocommand-q QM1 2>/dev/null
# 查看备份脚本
crontab-l|grep-i bes
ls /etc/cron.d/*bes* 2>/dev/null
# 查看恢复测试记录
ls-la /backup/bes/restore_test/ 2>/dev/null
cat /backup/bes/restore_test/last_test.log 2>/dev/null六、一键巡检脚本(宝兰德中间件)
#!/bin/bash
# 宝兰德中间件(BES)等保三级一键巡检脚本
# 适用:BES AS / BES MQ / BES DataExchange / BES Container
echo"===== 宝兰德中间件等保三级巡检 ====="
echo"巡检时间:$(date)"
echo"主机名:$(hostname)"
echo""
# 自动检测安装的产品
detect_bes_products(){
forproductin /opt/bes /opt/bes-mq /opt/bes-dx /opt/bes-container;do
if[-d"$product"];then
echo"$product"
fi
done
}
PRODUCTS=$(detect_bes_products)
if[-z"$PRODUCTS"];then
echo"未检测到BES产品,请手动指定安装路径"
exit1
fi
echo"检测到以下BES产品:"
echo"$PRODUCTS"
echo""
# BES应用服务器 巡检
check_bes_as(){
localBES_HOME=$1
echo"===== BES应用服务器 巡检 [$BES_HOME] ====="
echo"--- 版本信息 ---"
cat${BES_HOME}/version.txt 2>/dev/null ||cat${BES_HOME}/release 2>/dev/null
echo"--- 运行用户 ---"
ps-ef|grepjava|grep-i bes |grep-vgrep|head-3
echo"--- 控制台安全 ---"
cat${BES_HOME}/conf/management.xml 2>/dev/null |grep-E'management|security|ssl'|head-5
echo"--- 用户配置 ---"
cat${BES_HOME}/conf/users.properties 2>/dev/null |grep-v'^#'|head-5
echo"--- HTTPS配置 ---"
cat${BES_HOME}/conf/server.xml 2>/dev/null |grep-E'SSL|TLS|keystore'|head-3
echo"--- 日志配置 ---"
ls-la${BES_HOME}/logs/ 2>/dev/null |head-5
echo"--- 国密支持 ---"
ls${BES_HOME}/conf/*gm* 2>/dev/null ||echo"未检测到国密配置文件"
echo"--- 密码策略 ---"
cat${BES_HOME}/conf/password-policy.xml 2>/dev/null |grep-E'minLength|complexity|maxAge'|head-5
echo"--- 会话超时 ---"
cat${BES_HOME}/conf/session-config.xml 2>/dev/null |grep-E'timeout'|head-3
echo""
}
# BES MQ 巡检
check_bes_mq(){
localBES_MQ=$1
echo"===== BES消息中间件 巡检 [$BES_MQ] ====="
echo"--- 版本信息 ---"
dspmqver 2>/dev/null |head-5||echo"无法获取版本"
echo"--- 队列管理器状态 ---"
dspmq 2>/dev/null |head-10
echo"--- 队列管理器配置 ---"
cat${BES_MQ}/qmgrs/*/qm.ini 2>/dev/null |grep-E'Channel|Auth|SSL'|head-10
echo"--- 通道认证 ---"
echo"DISPLAY CHANNEL(*) SSLCIPH"| runmqsc $(dspmq |grep Running |awk'{print $1}'|head-1)2>/dev/null |head-10||echo"无法连接队列管理器"
echo"--- 日志检查 ---"
ls-la${BES_MQ}/qmgrs/*/errors/ 2>/dev/null |head-5
echo"--- SSL配置 ---"
ls-la${BES_MQ}/qmgrs/*/ssl/ 2>/dev/null |head-5
echo""
}
# BES DataExchange 巡检
check_bes_dx(){
localBES_DX=$1
echo"===== BES数据交换平台 巡检 [$BES_DX] ====="
echo"--- 版本信息 ---"
cat${BES_DX}/version.txt 2>/dev/null
echo"--- 用户配置 ---"
cat${BES_DX}/config/users.xml 2>/dev/null |head-20
echo"--- 传输加密 ---"
cat${BES_DX}/config/transport.xml 2>/dev/null |grep-E'ssl|encrypt'|head-3
echo"--- 日志检查 ---"
ls-la${BES_DX}/logs/ 2>/dev/null |head-5
echo"--- 数据安全 ---"
ls-la${BES_DX}/temp/ 2>/dev/null
echo"--- 国密配置 ---"
cat${BES_DX}/config/gmssl.xml 2>/dev/null |head-10||echo"未检测到国密配置"
echo""
}
# BES Container 巡检
check_bes_container(){
localBES_CONTAINER=$1
echo"===== BES容器平台 巡检 [$BES_CONTAINER] ====="
echo"--- 版本信息 ---"
/opt/bes-container/bin/bes-container version 2>/dev/null ||echo"无法获取版本"
echo"--- 节点状态 ---"
kubectl get nodes 2>/dev/null |head-5||echo"未配置Kubernetes"
echo"--- RBAC配置 ---"
kubectl get clusterroles 2>/dev/null |wc-l||echo"无法获取RBAC"
echo"--- 网络策略 ---"
kubectl get networkpolicies 2>/dev/null |head-5||echo"未配置网络策略"
echo"--- 安全上下文 ---"
kubectl get pods --all-namespaces -o yaml 2>/dev/null |grep-A5'securityContext'|head-20||echo"无法获取Pod配置"
echo""
}
# 执行巡检
forproductin$PRODUCTS;do
if[[$product== *"bes-mq"* ]];then
check_bes_mq $product
elif[[$product== *"bes-dx"* ]];then
check_bes_dx $product
elif[[$product== *"bes-container"* ]];then
check_bes_container $product
else
check_bes_as $product
fi
done
echo"===== 通用安全检查 ====="
echo"--- 文件权限检查 ---"
find /opt/bes* /etc/bes* 2>/dev/null -type f \(-name"*.xml"-o-name"*.conf"-o-name"*.properties"\)-perm /o+rwx -ls2>/dev/null |head-5||echo"配置文件权限正常"
echo"--- 端口监听检查 ---"
ss -tulnp|grep-E'8080|8443|9060|1414|1521|61616'2>/dev/null |head-5
echo"--- 国密库检查 ---"
find /opt/bes*/ -name"*gmssl*"-o-name"*sm2*"-o-name"*sm3*"-o-name"*sm4*"2>/dev/null |head-5||echo"未检测到国密库文件"
echo"--- 备份检查 ---"
ls /backup/bes*/ 2>/dev/null |head-5||echo"未找到标准备份目录"
echo""
echo"===== 巡检完成 ====="
echo"详细结果请查看上方输出,重点关注以下高风险项:"
echo"1. 默认admin账户口令未修改"
echo"2. 未启用HTTPS/SSL"
echo"3. 未配置密码复杂度策略"
echo"4. 未启用登录失败锁定"
echo"5. 会话超时时间过长(>30分钟)"
echo"6. 未启用国密算法"
echo"7. 未配置审计日志"
echo"8. BES MQ通道未启用SSL"
echo"9. 运行用户为root"
echo"10. 未配置数据交换加密"七、高风险项重点核查清单
| 检查项 | 验证命令 | 不合规判定 | 整改建议 |
|---|---|---|---|
| 默认admin口令未修改 | cat ${BES_HOME}/conf/users.properties | 存在admin/admin或默认哈希 | 立即修改强口令 |
| 未启用HTTPS | cat ${BES_HOME}/conf/server.xml | grep SSL | 无SSL配置或仅HTTP | 配置SSL证书,禁用HTTP |
| 未配置密码复杂度 | cat ${BES_HOME}/conf/password-policy.xml | 无文件或配置宽松 | 启用复杂度检查 |
| 未启用登录失败锁定 | cat ${BES_HOME}/conf/lockout-policy.xml | 无文件或锁定策略宽松 | 启用失败锁定 |
| 会话超时过长 | cat ${BES_HOME}/conf/session-config.xml | timeout>30 | 设置为≤30分钟 |
| BES MQ通道无SSL | echo "DISPLAY CHANNEL(*) SSLCIPH" | runmqsc | SSLCIPH为空 | 配置SSL密码套件 |
| 未启用国密SSL | ls ${BES_HOME}/conf/*gm* | 无国密配置文件 | 配置国密SSL |
| 审计日志未启用 | ls ${BES_HOME}/logs/audit.log | 无审计日志 | 启用审计功能 |
| 运行用户为root | ps -ef | grep java | grep bes | 存在root进程 | 创建专用用户 |
| 未配置数据脱敏 | cat ${BES_DX}/config/desensitize.xml | 无文件 | 配置脱敏规则 |
八、宝兰德与东方通/TongWeb对比
| 对比项 | 宝兰德BES | 东方通TongWeb | 金蝶Apusic |
|---|---|---|---|
| 等保支持 | 原生支持 | 原生支持 | 原生支持 |
| 国密算法 | 完整SM2/SM3/SM4 | 完整SM2/SM3/SM4 | 部分支持 |
| 三权分立 | 支持 | 支持 | 支持 |
| 审计日志 | 内置 | 内置 | 内置 |
| 硬件密码机 | 支持三未/江南天安/飞天 | 支持三未/江南天安 | 支持 |
| 消息中间件 | BES MQ | TongLINK | 需集成 |
| 数据交换 | BES DataExchange | TongDXP | 需集成 |
| 容器支持 | BES Container | TongWeb Embedded | 有限 |
| 等保合规难度 | 低 | 低 | 中 |
| 医疗行业应用 | 较多 | 较多 | 较少 |
九、等保测评执行要点
1. 产品版本确认
- BES AS V9.5+ 完整支持国密
- BES MQ V9.0+ 支持国密SSL
- BES DataExchange V3.0+ 支持国密传输
- BES Container V2.0+ 支持容器安全
2. 国密合规检查重点
# 检查是否使用国密SSL
openssl s_client -connect localhost:8443 -tls1_22>/dev/null |grep-i"sm2\|SM2\|国密"
# 检查证书国密算法
keytool -list-v-keystore${BES_HOME}/conf/bes.keystore 2>/dev/null |grep-i"SM2\|SM3\|国密"
# 检查密码机接入(如使用硬件密码机)
cat${BES_HOME}/conf/hsm.conf 2>/dev/null
ping-c1192.168.1.100 # 密码机IP3. 现场访谈要点
- 是否定期更换管理员口令(≤90天)
- 是否启用三权分立(系统管理员、安全管理员、审计管理员)
- 是否启用国密算法进行数据传输加密
- 是否定期备份配置文件和日志
- 是否进行恢复演练(每半年至少一次)
- BES MQ是否配置通道SSL加密
- BES DataExchange是否配置数据脱敏
4. 版本差异
| 功能项 | BES AS V9.0 | BES AS V9.5 | BES AS V10.0 |
|---|---|---|---|
| 国密SSL | 基础 | 完整 | 增强 |
| 三权分立 | 基础 | 完整 | 增强 |
| 审计功能 | 基础 | 增强 | 完整 |
| 双因子认证 | 不支持 | 支持 | 增强 |
| 容器集成 | 不支持 | 支持 | 完整 |
| 云原生支持 | 有限 | 增强 | 完整 |
参考标准:GB/T 22239-2019、GB/T 28448-2019、GM/T 0054-2018(国密标准)、宝兰德BES安全加固指南
适用版本:BES Application Server V9.x / V10.x、BES MQ V9.x、BES DataExchange V3.x、BES Container V2.x
验证环境:x86_64 / ARM64 / 国产化芯片(飞腾/鲲鹏/龙芯/海光/兆芯/申威)
声明:来自汪汪虚拟空间,仅代表创作者观点。链接:https://eyangzhen.com/7502.html
