目录

1 概述

2 安装环境

2.1 操作系统环境

2.2 KSecure版本

3 安装与测试

---

1 概述

云峦操作系统安全防御软件企业版（以下简称“KSecure企业版”） 是一款集安全检测、安全防御、安全响应为一体，面向云主机环境的集成化、可视化的安全防护系统。以资产清点为基础，实现入侵检测、基线核查、系统加固、程序管控、病毒查杀、网络微隔离等功能，实现持续监控、防御、分析和加固。

KSecure企业版包括安全管理平台和Agent两部分。安全管理平台是一套基于B/S架构的软件，负责针对所有受保护云主机进程安全策略的统一制定、安全事件的集中存储和分析、安全状态的统一监控；Agent部署在需要被保护的主机中，负责安全策略的执行和安全数据的采集。KSecure企业版架构如下图所示：

2 安装环境

2.1 操作系统环境

版本信息：KeyarchOS 5.8sp2
硬件平台：x86_64

2.2 KSecure版本

云峦操作系统安全防御软件企业版KSecure V2.1

3 安装与测试

部署KSecure管理端
解压KSecure管理端容器安装包

执行安装脚本ksecure_deploy_docker.sh

部署完成后，在浏览器访问https://管理平台IP:9143。使用默认用户superadmin访问并成功登录

部署KSecure客户端

程序管控功能测试

程序清单采集
KSecure程序管控需在采集清单的基础上运行，第一次采集后的程序都是白名单程序。白名单程序允许运行，黑名单和未知程序禁止运行。

全网总清单：

系统程序实时采集
程序管控功能开启后，系统上新创建的程序会立刻采集到KSecure管理平台。上报到管理平台后，和管理平台的总清单对比，如果匹配到就下发管理平台的级别。匹配不到按未知处理。未知和黑名单程序无法允许，白名单允许运行。

新增未知程序阻止运行

信任目录高级策略
在程序管控功能保护下，为了不影响系统上的业务正常运行。可以为业务目录设置信任。信任目录下的程序未知级别也允许运行。并且被其更新的程序是白名单程序。

上述策略生效后，testApp下的程序允许过程中产生的程序文件就是白名单程序了。Vim更新了test程序后，test程序是一个全新的程序(MD5变化了)，但是由于是信任目录的程序更新的，所以也是白名单。这样业务正常运行过程中或升级时对系统上程序的更新行为都不会被拦截。

全网黑名单

如果在运维过程中，发现了恶意程序，可以在总清单中设置为黑名单。黑名单全网下发，只要被KSecure保护的系统上都会拦截此程序的允许。黑名单全网拦截在程序管控的策略中优先级最高，保证了紧急情况下阻止恶意软件的扩散，限制其影响范围。

把上面的程序设置为黑名单程序后，这个程序在另外一台系统上运行时也被拦截。