麒麟動態 突破性進展，定義行業新坐標

在數字化時代，“安全”早已不是附加選項，而是系統運行的底層邏輯。

麒麟軟件將安全寫進產品基因。最新發布的銀河麒麟桌面操作系統V11，通過國密算法全棧支持，安全啟動、可信度量層層把關，從硬件層到應用層，構建了“軟硬一體、縱深防御”的安全體系。

安全策略是系統中程序的執行規則，它定義了哪些程序可以放行、哪些程序會被攔截。

安全機制則是內核中負責放行或攔截程序的底層代碼和基礎設施。

安全功能的實現就是依靠安全機制按照安全策略的要求，完成對程序的放行或攔截。

傳統安全框架（如LSM+SELinux）的本質是 “授人以魚”—— 將安全策略與安全機制綁定在一起，直接提供預設的具體安全功能。

這導致安全功能相對固化：若業務場景需要新增安全規則（如限制特定程序訪問敏感文件），或調整現有功能邏輯，往往需修改框架底層代碼、重新編譯內核，不僅操作復雜、風險高，還無法快速響應動態變化的安全需求，難以適應多樣化的用戶需求。

KSAF可編程安全框架則實現了 從“授人以魚”到“授人以漁” 的突破：通過架構中的三層（安全交互層、安全定義層、安全語言層）構建策略傳遞路徑，不直接提供固定安全功能，而是為開發者賦予開發安全功能的核心能力。

架構圖對比

在安全場景中，來自安全交互層安全應用的安全功能請求，在安全定義層轉化為安全策略配置文件，再轉化為安全語言的源碼格式，通過安全語言層形成二進制格式的策略文件，同步到內核中，讓新的安全配置立即生效。

KSAF架構圖分層說明

從“魚”到“漁”的飛躍，不僅是底層架構的更新，對于用戶而言，更是新增安全功能的便捷實現。

例如，某些用戶單位需要為內外網制定不同的信息保護策略。然而，在默認情況下，重要文檔的訪問權限未關聯內外網場景。任何網絡環境下都能訪問電腦中的所有文件，帶來信息安全風險。

基于KSAF安全框架靈活定制的技術特性，支持應用“內外網切換信息保護策略”。切換網絡連接時，自動下發策略，可實現在外網環境下，無法訪問定義好的“內網文件”；切換到內網后，可訪問內網文件。     

在傳統安全框架下，若想實現此類功能，通常需要基于LSM（Linux安全模塊）開發專用的內核模塊代碼，并部署新的系統版本來支持相應的安全場景。

而有了KSAF可編程安全框架，用戶和開發者可以在系統部署后的配置階段或日常運行中，靈活定制適用于特定場景的安全功能，輕松實現“安全管控，隨需而動”。

銀河麒麟操作系統V11用KSAF重新定義了操作系統安全：不是被動防御，而是主動構建“可生長、可進化”的安全生態。以KSAF框架為核心，銀河麒麟操作系統打造了硬件-系統-應用三層縱深防御體系，實現了主動感知、智能檢測、策略加固、進化防御的持續安全閉環。未來，麒麟軟件將持續提升技術，打造更安全、易用的產品，為構建網絡空間命運共同體貢獻力量。