麒麟动态 突破性进展，定义行业新坐标

在数字化时代，“安全”早已不是附加选项，而是系统运行的底层逻辑。

麒麟软件将安全写进产品基因。最新发布的银河麒麟桌面操作系统V11，通过国密算法全栈支持，安全启动、可信度量层层把关，从硬件层到应用层，构建了“软硬一体、纵深防御”的安全体系。

安全策略是系统中程序的执行规则，它定义了哪些程序可以放行、哪些程序会被拦截。

安全机制则是内核中负责放行或拦截程序的底层代码和基础设施。

安全功能的实现就是依靠安全机制按照安全策略的要求，完成对程序的放行或拦截。

传统安全框架（如LSM+SELinux）的本质是 “授人以鱼”—— 将安全策略与安全机制绑定在一起，直接提供预设的具体安全功能。

这导致安全功能相对固化：若业务场景需要新增安全规则（如限制特定程序访问敏感文件），或调整现有功能逻辑，往往需修改框架底层代码、重新编译内核，不仅操作复杂、风险高，还无法快速响应动态变化的安全需求，难以适应多样化的用户需求。

KSAF可编程安全框架则实现了 从“授人以鱼”到“授人以渔” 的突破：通过架构中的三层（安全交互层、安全定义层、安全语言层）构建策略传递路径，不直接提供固定安全功能，而是为开发者赋予开发安全功能的核心能力。

架构图对比

在安全场景中，来自安全交互层安全应用的安全功能请求，在安全定义层转化为安全策略配置文件，再转化为安全语言的源码格式，通过安全语言层形成二进制格式的策略文件，同步到内核中，让新的安全配置立即生效。

KSAF架构图分层说明

从“鱼”到“渔”的飞跃，不仅是底层架构的更新，对于用户而言，更是新增安全功能的便捷实现。

例如，某些用户单位需要为内外网制定不同的信息保护策略。然而，在默认情况下，重要文档的访问权限未关联内外网场景。任何网络环境下都能访问电脑中的所有文件，带来信息安全风险。

基于KSAF安全框架灵活定制的技术特性，支持应用“内外网切换信息保护策略”。切换网络连接时，自动下发策略，可实现在外网环境下，无法访问定义好的“内网文件”；切换到内网后，可访问内网文件。     

在传统安全框架下，若想实现此类功能，通常需要基于LSM（Linux安全模块）开发专用的内核模块代码，并部署新的系统版本来支持相应的安全场景。

而有了KSAF可编程安全框架，用户和开发者可以在系统部署后的配置阶段或日常运行中，灵活定制适用于特定场景的安全功能，轻松实现“安全管控，随需而动”。

银河麒麟操作系统V11用KSAF重新定义了操作系统安全：不是被动防御，而是主动构建“可生长、可进化”的安全生态。以KSAF框架为核心，银河麒麟操作系统打造了硬件-系统-应用三层纵深防御体系，实现了主动感知、智能检测、策略加固、进化防御的持续安全闭环。未来，麒麟软件将持续提升技术，打造更安全、易用的产品，为构建网络空间命运共同体贡献力量。