TCS通过客户端（即Agent）收集服务器的相关信息（可信根、度量值、白名单学习策略等信息）并将信息上报到系统。您可以根据业务发展需要，升级可信客户端。

物理服务器/云服务器 ECS / 裸金属服务器 BMS在安装了可信客户端后，您才能正常使用可信启动信任链和可信应用白名单功能，即可在“资产详情”页签页面查看到可信启动过程和可信启动信任链信息，在“可信应用白名单”页面配置白名单学习策略并进行学习等。

您可以根据业务发展需要，升级可信客户端。

客户端升级配置流程图如下：

(1)请联系中国电子云公司运维人员获取升级包。

必须从中国电子云公司获取符合产品版本的客户端升级包，暂不支持其他途径的升级包。

(2)上传客户端升级包。

(3)升级客户端。

客户端升级只针对可信云服务器 ECS、可信裸金属服务器 BMS，物理服务器、未安装客户端的主机、不在线的主机不支持客户端升级。

简介

您需要先在“客户端升级”页面手动上传客户端升级包，才可在“资产详情”页面通过“换版本”升级客户端。

前提条件

已联系中国电子云公司运维人员获取升级包。

约束与指导

必须从中国电子云公司获取符合产品版本的客户端升级包，暂不支持其他途径的升级包。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“设置”，进入“客户端升级”页面。

(3)单击“上传升级包”，弹出“上传升级包”对话框。

(4)上传升级包。

方式一：单击“上传”，选择升级包。

方式二：将升级包文件拖拽到“上传升级包”对话框。

(5)单击“确定”，系统开始上传、校验升级包。

上传过程中请勿操作系统。

若升级包符合要求且数据正常，上传完成后自动关闭“上传升级包”对话框，弹出“上传升级包成功”提示信息。

若升级包损坏，上传完成后自动关闭“上传升级包”对话框，弹出“升级包校验失败”提示信息。升级包上传失败分析及处理参照下文的“升级包上传失败处理”。

操作结果

升级包上传完成后，您可以在“客户端升级”页面的查看“升级记录”。（建议查看前刷新页面）

后续操作

客户端升级包上传成功后，您可以在“资产详情”页面执行升级客户端操作。

升级包上传失败处理

在上传了客户端升级包后，出于安全原因，系统对升级包进行合法性校验，如果校验失败，请根据下述说明处理。

1.简介

请在“资产详情”页面通过“换版本”升级客户端。 TCS 支持对单个资产、对多个资产批量升级客户端。

2.前提条件

已完成上传客户端升级包。

3.约束与指导

“换版本”显示为灰色时，不可操作。

正在升级中的资产不允许“换版本”。

客户端升级只针对可信云服务器 ECS、可信裸金属服务器 BMS，物理服务器、未安装客户端的主机、不在线的主机不支持客户端升级。

4.操作步骤（单个资产升级客户端）

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)（可选）您可以基于资产分组、资产名称等筛选出目标资产。

(4)在目标资产所在行，单击操作列的“换版本”，弹出“切换客户端版本”对话框。

(5)选择要升级的目标版本，单击“确定”，等待客户端升级。

在“资产详情”页面，“换版本”显示为灰色不可操作时，表示正在升级中；“换版本”显示为蓝色可操作时，表示升级完成。

5.操作步骤（多个资产同时升级客户端）

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)（可选）您可以基于资产分组、资产名称等筛选出目标资产。

(4)勾选要升级客户端的资产，单击左下方的“换版本”，弹出“切换客户端版本”对话框。

(5)选择要升级的目标版本，单击“保存”，等待客户端升级。

在“资产详情”页面，“换版本”显示为灰色不可操作时，表示正在升级中或不支持升级；“换版本”显示为蓝色可操作时，表示升级完成；您可以查看当前客户端版本和升级记录。

简介

您可以在“版本”列查看资产当前的客户端版本；也可以在升级记录中，查看资产的客户端升级时间、升级结果以及每次升级的版本等信息。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入资产详情页面。

“版本”列显示资产当前的客户端版本。

(3)单击版本列的，弹出“升级记录”对话框。

可在升级结果列查看是否升级成功。

简介

您可以将不需要的升级包删除。

前提条件

已上传过客户端升级包。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“设置”，进入“客户端升级”页面。

(3)在升级记录中，选择已上传的客户端升级包，单击操作列的“删除”，弹出删除确认框。

(4)单击“确定”，删除成功。

“可信资产”指可信物理服务器、可信云服务器、可信裸金属服务器等，系统在 TCS 的“资产详情”页面展示所有资产信息，并支持可信资产管理。

可信物理服务器：要求支持并安装了TPM卡、并安装了可信客户端。

可信云服务器 ECS：要求开通 ECS 时使用了可信镜像文件、并安装了可信客户端。

可信裸金属 BMS：要求开通 BMS 时选择可信规格、并安装了可信客户端。

资产中心页面从资产的类型、防护状态、风险状态等维度分别展示安全资产的对应信息。其功能包含：

资产同步：通过API方式同步服务器资产，包括主机唯一标识、IP地址、操作系统、主机名称、弹性公网IP等。

资产查询展示：查询展示服务器相关资产名称、资产ID、资产状态、IP地址、操作系统、保护状态、风险状态。

资产分组和换组：通过创建分组、更换组别，将接入的资产进行分组管理。

切换版本：即升级客户端。

可信资产管理业务及配置流程图如下：

(1)准备工作。

确保已创建可信云服务（可信物理服务器、可信云服务器 ECS、可信裸金属服务器 BMS），且可信云服务已安装可信客户端（即可信Agent）。

(2)（系统动作）启动物理主机 / 云服务器 ECS / 裸金属服务器 BMS。

在成功部署了物理服务器后，系统自动启动服务器。

在成功开通了可信 ECS 后，系统自动开机。

在成功开通了可信 BMS 后，系统自动开机。

(3)（系统动作）在物理主机 / 云服务器 / 裸金属服务器启动过程中，系统根据标准值进行可信度量。

(4)（建议）同步资产。

服务器资产信息默认每2小时自动同步一次到 TCS上。为了及时获取到最新的资产信息，建议您手动同步资产。

(5)资产管理。

资产分组管理。

您可以通过创建分组，将接入的资产进行分组管理；并通过“换组”，为自定义分组添加资产。具体操作见创建分组。

风险资产处理。

当资产产生了告警，该资产在“资产详情”页面将显示存在风险，单击“存在风险”可跳转至“威胁检测”页面进行告警处理。具体参见风险资产处理。

简介

资产同步功能默认2小时自动同步一次，如果您想尽快得到最新结果，可手动同步资产。

您在进入可信云服务 TCS界面后，建议您手动同步下资产，及时获取最新的资产信息。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)单击右上角的“同步资产”。

弹出“同步任务下发成功，请稍后刷新数据查看”提示信息，系统开始同步服务器的在线状态、防护状态等信息。

(4)手动刷新“资产详情”页面，或切换到别的功能页面再回到“资产详情”页面，即可查看最新的同步结果。

手动刷新的等待时间与当前同步任务的排队情况、集群资产规模有关，建议您根据实际情况稍等后再刷新。

简介

如果您管理的资产很多，可根据资产名称、资产ID、弹性公网IP、私有IP、操作系统、资产状态、风险状态等进行过滤和查询，快速找到目标资产。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入资产中心页面。

系统默认展示所有资产，包括物理服务器资产、云服务器资产、存在风险资产等。您可以查看到各资产是否在线、IP地址、操作系统、授权信息、防护状态开启情况、风险状态等。

(3)（可选）选择资产分组，页面只展示该组资产信息。

(4)（可选）在筛选框中选择查询类型，输入相关值，可快速查询目标资产。

简介

当资产产生了告警（如可信启动信任链异常、运行了可疑进程等），该资产在“资产详情”页面将显示存在风险，您需要对风险资产进行处理。

前提条件

资产产生了告警（如可信启动信任链异常、运行了可疑进程等）。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)找到风险资产，单击“存在风险”，系统跳转至“威胁检测”页面，自动筛选出该资产待处理的告警信息。

(4)在“威胁检测”页面，参照处理告警操作。

5.4.6.1 创建分组

简介

您可以通过创建分组，将接入的资产进行分组管理；并通过“换组”，为自定义分组添加资产。

限制与指导

系统内置的分组不允许创建子分组。

“所有资产”组下的资产不支持换组。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)单击“新建分组”，弹出“新建分组”对话框。

(4)设置分组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(5)（可选）创建子分组。

选择自定义的分组，鼠标悬停在上，在下拉选项中选择“添加子分组”，弹出“新建分组”对话框，设置组名称、描述等信息后，单击“确定”，创建成功。

创建成功的分组显示在“资产分组”列表中。

(6)为自定义分组添加资产。

选择目标资产，单击操作列的“换组”，在弹出的“换组”对话框中，选择已有的自定义分组，即可将该资产添加到分组中。

5.4.6.2 删除 / 编辑资产分组

简介

您可以删除或编辑自定义的资产分组。

限制与指导

出厂默认的资产分组不允许删除和编辑。

当分组下有子分组或资产时，不允许删除分组；移除组内的资产或删除子分组后方可删除该分组。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)选择目标分组，鼠标悬停在上，在下拉选项中选择“删除分组”或“编辑分组”，在弹出的对话框中确认即可。

启动信任链是在设备启动过程中的阶段可基于可信根进行可信验证。启动过程包括整个启动链条的逐级度量，构成一个完整的信任链，保障启动以后进入一个可信的计算环境。

各环节度量模块根据度量策略的配置由TPCM完整对度量对象数据获取和对系统的控制，由TCM完成对被度量数据的密码运算生成日志。启动阶段包括BIOS、OSLoader、OSkernel等。

可信启动信任链业务及配置流程图如下：

(1)准备工作。

确保已创建可信云服务（可信物理服务器、可信云服务器 ECS、可信裸金属服务器 BMS），且可信云服务已安装可信客户端（即可信Agent）。

(2)（系统动作）启动物理主机 / 云服务器 ECS / 裸金属服务器 BMS。

在成功部署了物理服务器后，系统自动启动服务器。

在成功开通了可信 ECS 后，系统自动开机。

在成功开通了可信 BMS 后，系统自动开机。

(3)（系统动作）在物理主机 / 云服务器 / 裸金属服务器启动过程中，系统根据标准值进行可信度量。

(4)（建议）同步资产。

服务器资产信息默认每2小时自动同步一次到 TCS上。为了及时获取到最新的资产信息，建议您手动同步资产。

(5)查看可信启动信任链。

您可在“资产详情”页面查看设备的启动度量过程。

如果启动阶段的度量值与标准值不一致，系统产生告警；您可以直接单击“异常”跳转至“威胁检测”页面查看可信启动异常告警信息，或直接进入“威胁检测”页面查看（见威胁检测）。

(6)处理可信启动异常告警（见处理告警）。

支持3种告警处理方式：加白、忽略、已线下处理。

选择“加白”，将本次启动的度量值更新为标准值；加白后，系统不再产生对应的告警。

选择“忽略”、“已线下处理”，当相同告警再次发生时，系统将再次告警。

简介

可信启动过程以图形化展示各个启动阶段度量信息，您可以在“可信详情”页面查看可信启动信任链。云服务器或物理主机启动过程中基于可信根自行校对相关组件的度量值，当启动阶段度量值与标准值不一致，将产生告警，实际度量值被标红，状态显示“异常”。

前提条件

已创建了可信云服务并安装了可信客户端。

已同步资产。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“资产中心 > 资产详情”，进入“资产详情”页面。

(3)（可选）选择资产分组或者基于其他过滤条件，进入对应的资产详情页面。

(4)单击“资产名称 / ID”列的资产ID，进入该资产的“可信详情”页面。

您可查看可信资产的启动信任链、各个阶段组件的实际度量值和标准值、可信启动是否异常等。

在最后一个阶段度量中，如果实际测量值与标准值不同，将产生告警，实际度量值被标红，状态显示为“异常”。

(5)（对于可信启动异常）单击状态列的“异常”可跳转到“威胁检测”页面，查看启动信任链异常的告警信息并通过处理建议进行相关处理。

相关操作参见查看告警详情与建议、处理告警。

应用白名单是可信云服务静态度量的具体体现，支持对软件程序启动时进行完整性度量，通过可信度量机制对执行程序进行严格控制。只有在度量结果和预期值一致的前提下，该程序才允许运行，否则拒绝运行。

您需要先创建自学习策略，在学习完成后对可疑应用加白，并将可信应用白名单下发到系统中。

您可将常见的、可信任的应用进程添加到可信应用白名单中，当应用程序尝试执行时，系统自动检查可信应用白名单，如果发现在白名单中就允许运行，不在白名单中则则执行告警、告警并阻断。

可信应用白名单配置流程图如下：

(1)准备工作。

确保可信物理服务器、可信云服务器 ECS、可信裸金属BMS 都安装了可信客户端（即可信Agent）。

(2)（系统动作）启动物理主机 / 云服务器 ECS / 裸金属服务器 BMS。

在成功部署了物理服务器后，系统自动启动服务器。

在成功开通了可信 ECS 后，系统自动开机。

在成功开通了可信 BMS 后，系统自动开机。

(3)创建自学习策略。（见新建自学习策略）

(4)（系统动作）开始学习。

(5)（系统动作）学习完成后，默认生成可疑进程应用名单。

(6)将可疑进程添加为可信应用白名单。（见添加白名单）

(7)应用策略，将可信白名单下发到服务器中，白名单生效。

如果进程在白名单中，系统允许运行该进程；如果进程不在白名单中，执行“新建学习策略”中设置的防护动作，说明如下：

防护模式为“告警”：仅产生告警，可以正常执行程序。

防护模式为“阻断”：产生告警并阻断进程运行，同时可信云服务器后台报“Operation not permitted”，运维人员可根据此提示判断进程被阻断的原因。

(8)查看应用异常告警。（见威胁检测）

(9)处理应用异常告警。（见处理告警）

支持3种告警处理方式：加白、忽略、已线下处理。

选择“加白”，将可信异常应用加入到可信应用白名单中；加白后，再次运行该进程时系统不再产生告警。

选择“忽略”、“已线下处理”，当相同告警再次发生时，系统将再次告警。

简介

您可以创建针对单一资产或多个资产的自学习策略。策略创建成功后，系统下发学习任务并开始学习进程；学习完成后默认生成可疑进程，您可以根据需求将可疑进程加入白名单，在应用策略后，系统将对不在白名单中的应用进程执行“新建学习策略”中设置的防护动作（产生告警、产生告警并阻断进程运行），对白名单中的应用进程则允许其运行。

前提条件

请确保物理主机/云服务器/裸金属已安装了可信客户端、并完成了开机启动等操作。

限制与指导

一个资产只能创建一条自学习策略。

在创建了自学习策略后，该资产下默认开启白名单功能；学习结束后，建议您对学习到的可疑进程进行分析判断，对信任或常规的进程进行加白（加白操作参见添加白名单），否则系统将根据防护模式执行相应动作，如阻断学习到的所有可疑进程并告警，可能影响业务的正常进行。

关闭白名单不影响学习进程（正在学习和学习完成的进程），在重新开启白名单后可疑、可信进程依旧生效，系统会对可疑进程执行告警或告警并阻断。如果您在学习未结束前关闭了白名单功能，后又重新开启了白名单功能，建议您对学习到的进程加白（加白操作参见添加白名单），否则可能会影响业务的正常进行。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 策略管理”页面。

(3)单击“新建”，弹出“新建策略”对话框。

(4)根据下表说明配置参数。

(5)单击“确定”，自学习策略创建成功。

创建成功的策略展示在“策略管理”页面，并开始学习，学习状态显示为“正在学习”。

后续操作

自学习策略创建成功后，系统开始学习。学习过程中，您可以运行生效可信工作负载上的相关进程，在“策略管理”页面查看学习状态、查看自学习策略等。

学习完成后，您可以在“白名单策略”页面将进程加白，操作参见添加白名单。

5.6.4.1 查看自学习策略

新建自学习策略成功后，您可以在“生效可信工作负载”页面、“策略管理”页面查看创建的自学习策略。

“生效可信工作负载”页面以资产为维度，展示针对单一资产的自学习策略。

“策略管理”页面以策略为维度，展示针对单一资产或多个资产的自学习策略。

5.6.4.2 编辑/删除自学习策略

简介

如果您想更改策略名称，或将不需要的策略删除，可在“策略管理”页面“编辑”或“删除”该策略。

限制与指导

正在学习中的策略不支持编辑、删除操作。

在修改学习策略时，如果有过资产变更，修改完成后必须执行重新学习，否则系统无法将学习策略和资产关联到一起。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 策略管理”页面。

(3)选择目标策略，单击操作列的“更多 > 编辑”或“更多 > 删除”，在弹出的对话框中执行相应操作即可。

后续操作

一般在编辑学习策略后，请执行重新学习。

如果只修改了防护模式，只需重新应用策略即可生效。

简介

您只有开启了白名单功能，可信应用白名单功能才可正常使用，即可正常执行白名单自学习策略、添加/取消可信应用白名单、下发白名单等。

在创建了白名单自学习策略后，该资产下默认开启白名单功能，您可以在“可信应用白名单 > 生效可信工作负载”页面查看白名单功能的开启状态。

如果您之前手动关闭了白名单功能，可通过本节内容重新开启。

前提条件

已创建白名单自学习策略。

手动关闭了白名单功能，即在“可信应用白名单 > 生效可信工作负载”页面中“白名单功能状态”显示为“已关闭”。

限制与指导

关闭白名单不影响学习进程（正在学习和学习完成的进程），在重新开启白名单后可疑、可信进程依旧生效，系统对可疑进程执行告警、告警并阻断等动作。如果您在白名单自学习策略学习未结束前关闭了白名单功能，后又重新开启了白名单功能，建议您对学习到的进程进行加白（加白操作参见添加白名单），否则系统将阻断学习到的所有可疑进程并告警，可能影响业务的正常进行。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 生效可信工作负载”页面。

(3)开启白名单功能。

单个开启：选择需要开启的可信工作负载，单击操作列的“开启白名单”，在弹出的对话框中单击“确定”，开启成功。

批量开启：勾选需要开启的可信工作负载，单击左下方的“批量开启白名单”，在弹出的对话框中单击“确定”，开启成功。

白名单功能开启成功后，您可正常执行添加白名单、取消白名单等操作。

简介

如果您选择关闭白名单功能，该资产下的可信应用白名单功能都无法使用，即白名单自学习策略、白名单功能、加白、取消加白等功能均不生效。

前提条件

已创建白名单自学习策略。

已开启了白名单功能，即在“可信应用白名单 > 生效可信工作负载”页面中“白名单功能状态”显示为“已开启”。

限制与指导

关闭了白名单功能后，正在学习的策略将不再上报进程；已下发的白名单不再生效（即所有进程都可正常运行，不再产生告警），请谨慎操作。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 生效可信工作负载”页面。

(3)关闭白名单功能。

单个关闭：选择需要开启的可信工作负载，单击操作列的“关闭白名单”，在弹出的对话框中单击“确定”，关闭成功。

批量关闭：勾选需要关闭的可信工作负载，单击左下方的“批量关闭白名单”，在弹出的对话框中单击“确定”，关闭成功。

白名单功能关闭成功后，无法再正常使用可信应用白名单功能，“白名单策略”置为灰，不可操作，您无法再执行添加白名单/取消白名单等操作。

您可以根据“可信应用白名单 > 生效可信工作负载”页面中的生效工作负载列表，在生效资产上运行相关进程，等待学习完成后查看学习到的进程，并对可疑进程加白，操作见添加白名单。

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“可信应用白名单”，进入可信应用白名单页面。

(3)单击“策略管理”页签，进入“策略管理”页面。

在“策略管理”页面，您可查看各学习策略对应的学习状态。

正在学习：正在学习进程。正在学习中的策略不支持编辑、删除、应用策略等操作。

学习完成：进程学习已完成，您可以查看学习到的进程，并对可疑进程加白。

应用中：已学习完成且“策略应用状态”为开启。

暂停应用：将应用中的策略停止，此时无论执行什么进程都会被阻断。

简介

系统学习到进程后，您可以查看学习到的进程，并可对可疑进程加白。

前提条件

已创建自学习策略。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“可信应用白名单”，进入可信应用白名单页面。

(3)单击“策略管理”页签，进入“策略管理”页面。

在“策略管理”页面，“应用程序”列的可疑进程有数字时，您就可查看学习到的可疑进程信息。

(4)查看学习到的进程。

方式一：在“策略管理”页面，单击“应用程序”列的可信/可疑进程，进入该策略下的进程列表页面，可查看学习到的所有进程信息；单击“资产对象”列的数字可查看该进程关联的资产对象信息。

方式二：在“生效可信工作负载”页面，单击“白名单策略”，进入该策略下的白名单列表页面，可查看学习到的所有进程信息。

后续操作

在学习结束后，您可以对学习到的可疑进程加白，操作参见添加白名单。

简介

在学习完成后，您可以在“白名单策略”页面将可疑进程添加为可信应用白名单；进程在加白并应用策略后，当应用程序尝试执行时，系统自动检查可信应用白名单，如果发现在其中就允许运行，不在其中则产生异常应用运行告警，或阻断进程并产生异常应用运行告警。

前提条件

已通过策略学习生成可疑进程名单。

限制与指导

在白名单自学习策略学习结束后，建议您对学习到的可疑进程进行分析判断，对信任或常规的进程进行加白，否则系统对学习到的可疑进程生产告警，或生成告警并阻断进程运行，影响业务正常进行。

请确保“策略应用状态”为开启状态，在添加白名单后，系统才会将新的白名单下发到服务器。开启操作可参考应用策略。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“可信应用白名单”，进入可信应用白名单页面。

(3)在“生效可信工作负载”页面，选择学习完成的资产，单击操作列“白名单策略”，进入生效可信工作负载的白名单列表界面。

您可以可查看到该资产学习完成后生成的可疑进程名单。

(4)添加白名单。

单个添加：单击要添加白名单的可疑进程右侧的“添加白名单”，在弹出的对话框中确定即可。

批量添加：勾选要添加白名单的可疑进程，单击下方的“批量添加白名单”，在弹出的对话框中确定即可。

后续操作

添加白名单并开启策略应用后，运行白名单进程，系统不产生告警；运行非白名单中的进程，系统将告警，您可以查看告警详情与建议、处理告警。

简介

您可以根据实际运营需求，移除可信应用白名单里的白名单进程。

取消白名单后，进程将变为可疑进程，再次运行该进程时将被阻断并产生异常应用运行告警。

前提条件

已将进程添加到白名单中。

限制与指导

请确保“策略应用状态”为开启状态，在取消白名单后，系统才会将新的白名单下发到服务器。开启操作可参考应用策略。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 生效可信工作负载”页面。

(3)找到目标资产，单击操作列“白名单策略”，进入该工作负载下白名单列表页面。

(4)取消可信应用白名单。

单个取消：选择类型为“可信”的进程，单击右侧的“取消白名单”，在弹出的对话框中确定即可。

批量取消：勾选要取消白名单的进程，单击下方的“批量取消白名单”，在弹出的对话框中确定即可。

后续操作

取消白名单后，进程变为可疑进程，再次运行该进程时将被阻断并产生告警，您可以通过以下方式将其加白：

通过“告警处置”处将其加白（参见处理告警）。

重新学习，生成可疑进程后再次将其加白（参见添加白名单）。

在进程列表中，再次将其加白。

简介

您必须开启“应用策略”，添加的可信应用白名单才生效，后续系统将根据可信应用白名单自动核查运行中的进程，对不在白名单中的进程，阻断其运行并告警，在白名单中的进程则允许运行。

前提条件

策略自学习已完成。（正在学习中的策略不允许修改策略应用状态）

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 策略管理”页面。

(3)找到相应策略，将策略应用状态列的开关置为。

开启策略应用后，系统即刻将该策略下的可信应用白名单下发到系统中，添加的白名单生效。

后续操作

应用策略后，系统将对不在白名单中的进程执行“新建学习策略”中设置的防护动作（产生告警、产生告警并阻断进程运行），您可以在“威胁检测”页面查看告警详情与建议、处理告警。

简介

因为应用中的策略不允许重新学习，如果您希望对应用中的策略执行重新学习，可先暂停应用策略。暂停应用策略后，无论执行什么进程都会被阻断，请谨慎操作。

前提条件

已应用策略。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 策略管理”页面。

(3)找到相应策略，将策略应用状态列的开关置为。

暂停策略应用后，“学习状态”显示为“暂停应用”。

后续操作

暂停应用策略后，您可执行重新学习。

简介

当自学习策略周期较长，在开启自学习后，您不再需要继续学习或者想提前结束学习时，可通过“停止学习”停止策略的自学习。

限制与指导

只有学习状态为“正在学习”的策略才可以停止学习。

停止学习后，不影响之前已学习到的进程。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 策略管理”页面。

(3)选择目标策略，单击“停止学习”，系统停止学习。

简介

如果生效资产中，新增了其他可执行程序，您希望将这些程序添加为可信应用白名单；或者在任何时候，您希望重新学习资产中的进程，便可通过“重新学习”对该资产再次执行自学习策略。

限制与指导

只有学习状态为“暂停应用”、“正在学习”、“学习完成”的策略才可以重新学习。

重新学习结束后，建议您对学习到的可疑进程进行分析判断，对信任或常规的进程进行加白（加白操作参见添加白名单），否则系统将阻断学习到的所有可疑进程并告警，可能影响业务的正常进行。

操作步骤

(1)登录 TCS 控制台。

(2)进入“可信应用白名单 > 策略管理”页面。

(3)选择需要重新学习的策略，单击“重新学习”，系统开始学习。

后续操作

待学习结束后，可对可疑进程加白，操作参见添加白名单。

可信容器主要针对集群环境内的容器镜像文件进行安全防护，其核心目标之一是保证容器平台的系统和应用软件的完整性，防止容器被未经授权的访问、篡改或窃取，也可以保证容器运行在可信的状态和环境中。

可信容器主要功能特性有：

支持对集群基础包的镜像进行签名，确保集群基础包的来源合法性。

支持对应用包的镜像进行签名，确保应用包的来源合法性。

支持启动时进行镜像合法性检查，通过检测镜像签名是否合法，判断是否允许镜像部署。

当前集群中部署的容器镜像有三类来源，说明和保护手段说明如下：

可信容器业务配置流程图如下：

(1)设置策略。

设置检测策略：可配置是否开启镜像文件检测、可信环境检测，并可设置检测出为非法镜像 / 未知镜像 / 非可信环境后，系统的反应动作。

导入基线文件：可导入三类基线文件（镜像文件）。

基础包：针对集群上线的应用部署包。

官方应用包：针对中国电子云发布的、通过应用商店部署的产品包。

第三方应用包：针对第三方开发者开发发布的、通过应用商店部署的产品包。

(2)在集群中启动容器（包括新建容器、重启容器等）。

如果您在设置检测策略时“合法性检测”“环境检测”为非关闭状态，在启动容器时，系统可进行如下检测：

根据基线文件对容器镜像进行检测。

当检测出容器镜像文件和导入的镜像文件（基线文件）签名不一致时，则认为该容器镜像为非法镜像，系统根据设置的策略执行相应动作。

当检测到容器镜像文件不在导入的镜像文件（基线文件）中，则认为该容器镜像为未知镜像，系统根据设置的策略执行相应动作。

检测物理节点是否有可信设备、启动信任链是否异常。

“是否有可信设备”指物理服务器是否有可信芯片（是否安装了TPM、TCM卡等）；“启动信任链是否异常”指节点启动阶段的度量值与标准值是否一致。如果节点无可信设备、启动信任链异常，系统根据设置的策略执行相应动作。

(3)查看镜像防护记录。

如果系统根据检测策略和基线文件对容器镜像进行检测时，检测出非法镜像 / 未知镜像时并产生了告警，系统将生成记录并展示在“镜像防护”页面，您可以查看详细的记录信息。

(4)处理非法镜像、未知镜像。

当发现有未知镜像、非法镜像告警时，建议您及时通知运维人员到集群后台处理。处理操作不在本指南中详写。

5.7.4.1 设置检测策略

简介

您可以设置针对可信节点、镜像文件的检测策略，并导入相应的基线文件；当启动容器时，系统可进行如下检测：

根据基线文件对容器镜像进行签名和合法性检查，若发现非法镜像、未知镜像等，将根据设置的策略执行相应的动作，如放行、告警、告警并阻断等。

检测物理节点是否有可信设备、启动信任链是否异常。

“是否有可信设备”指物理服务器是否有可信芯片（是否安装了TPM、TCM卡等）；“启动信任链是否异常”指节点启动阶段的度量值与标准值是否一致。如果节点无可信设备、启动信任链异常，将根据设置的策略执行相应的动作，如放行、告警、告警并阻断等。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“可信容器 > 策略中心”，进入“策略中心”页面。

(3)配置检测策略。

单击“设置”，弹出“设置”对话框；配置以下参数后单击“确定”。策略配置组合说明见检测策略配置组合说明。

5.7.4.2 导入基线文件

简介

如果您在设置检测策略时，开启了“集群准入策略”，或者“合法性检测”中的策略配置为非关闭状态，您需要导入相应的基线文件。当启动容器时，系统需要根据基线文件对容器镜像进行签名和合法性检查，若发现非法镜像、未知镜像等，将根据设置的策略执行相应的动作，如放行、告警、告警并阻断等。

前提条件

已从中国电子云获取到集群部署包（基础包）、通过应用商店部署的产品包。

已从第三方开发者获取到要通过应用商店部署的产品包。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“可信容器 > 策略中心”，进入“策略中心”页面。

(3)导入基线文件。

根据业务需求，导入相应的基线文件或镜像文件。

本节仅列举设置检测策略中几个关键的策略参数配置效果。

简介

如果您在“可信容器 > 策略中心”设置了检测策略、导入了基线文件，当在集群环境内启动容器时，系统会根据基线文件验证容器镜像文件的签名和基线文件内是否一致、是否为未知的镜像文件，如果不一致或是未知的镜像，将根据检测策略中对“非法镜像”、“未知镜像”的处理方式进行处理，当处理方式为“告警”或“告警并阻断”时，系统生成记录并展示在“镜像防护”页面。

前提条件

已导入基线文件。

已设置检测策略，且“集群准入策略”为“开启”，“非法镜像策略”为“告警”或“告警并阻断”，“未知镜像策略”为“告警”或“告警并阻断”。

在集群环境内启动容器。

限制与指导

“镜像防护”页面只展示检测策略为“告警”或“告警并阻断”的非法镜像、未知镜像。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“可信容器 > 镜像防护”，进入“镜像防护”页面。

“镜像防护”页面展示所有的容器的非法镜像、未知镜像的防护记录。

(3)（可选）您可以基于系统处理的时间、镜像文件、软件名称、镜像类别、处理方式等过滤筛选出目标记录。

后续操作

当发现有未知镜像、非法镜像告警时，建议您及时通知运维人员到集群后台处理。处理操作不在本指南中详写。

可信云服务的“威胁检测”模块提供安全告警事件统一处置与响应功能，主要展示物理主机/云服务器/裸金属可信启动异常告警和异常应用运行告警。您可以在“威胁检测”页面查看所有告警事件详情和处理建议、Top10风险工作负载和Top10告警类型。

TCS 支持两种可信执行环境异常告警类型：可信启动异常、异常应用运行。

简介

TCS针对物理服务器、云服务器、裸金属等资产提供安全告警事件统一处置与响应功能。

面对数量庞大的告警信息，您可以通过设置过滤条件缩小范围，快速定位到目标告警事件。

如果您不设置过滤条件，“威胁检测”页面默认展示最近1天内的所有告警事件。

前提条件

对于可信启动异常告警，您需确保已创建并启动可信物理主机/可信 ECS/可信BMS、已安装可信客户端等。

对于异常应用运行告警，您需确保已安装可信客户端、已开启白名单功能、已添加了白名单并应用策略等。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“威胁检测”，进入威胁检测页面。

(3)设置过滤查找条件。

单击左上角第1行的第1个选择框，在下拉选项中选择查询的关键标签；在第2个输入框中输入关键字或选择更详细的标签，单击搜索图标，页面根据条件过滤展示。

(4)选择告警事件产生的时间范围。

单击左上角第2行的时间范围选项或自定义时间范围后，页面刷新展示该时段内的告警信息。

操作结果

您可以查看Top10风险工作负载和告警类型。

系统对所有可信异常告警事件进行统计分析，以柱形图展示产生告警事件总数为Top10的风险工作负载，以环型图展示告警数量为Top10的告警类型。

通过查看所有时间或指定时间范围内的风险资产和告警类型排名，帮助您快速了解存在较高风险的资产和较为活跃的告警类型。

查看告警详情记录。

“告警详情”区域以列表形式展示所有的告警事件记录，包括告警等级、告警类型、关联的风险资产、告警处理状态、发生时间、异常分析、处理建议等，帮助您概览所有可信异常告警事件。

简介

“告警详情”区域以列表形式展示所有的告警事件信息，包括告警等级、告警类型、关联的风险资产、告警处理状态、发生时间、异常分析、处理建议等，帮助您概览所有可信异常告警事件。

通过查看每条告警事件的详情与处理建议，您可以更清晰地了解资产存在的风险、异常组件名称、度量标准值和实际值的差异、异常进程名称和路径、异常描述等，并根据修复建议排查、处理告警。

前提条件

对于可信启动异常告警，您需确保已开通可信 ECS、可信BMS。

对于异常应用运行告警，您需确保已创建白名单自学习策略、已添加了白名单并应用策略等。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“威胁检测”，进入“威胁检测”页面。

(3)（可选）设置过滤查找条件和时间范围，页面刷新展示。

(4)在“告警详情”区域，查看告警等级、告警类型、关联资产信息、告警处理状态、发生的时间等信息。

如果告警已被处理，“告警状态”列显示为“已处理（处理方式）”，操作列的“告警处置”不可操作。

(5)单击目标告警事件操作列的“详情与建议”，弹出“详情与建议”对话框。

“可信启动异常”告警

由启动信任链异常产生的告警。可信启动异常告警类型通过可信启动异常告警类型+资产ID+异常组件，做聚合显示。

“详情与建议”对话框展示该告警事件对应的风险工作负载的名称 / ID / IP、首次产生告警和最近一次产生告警的时间、告警处理状态、异常组件名称、该组件度量标准值和实际度量值、异常分析和修复建议。

“异常应用运行”告警

由运行非白名单内的进程而产生的告警。异常应用运行告警类型通过异常应用运行告警类型+资产ID+进程路径，做聚合显示。

“详情与建议”对话框展示该告警事件对应的风险工作负载的名称 / ID / IP、首次产生告警和最近一次产生告警的时间、告警处理状态、异常进程名称和路径、异常分析和修复建议。

如果告警事件已被处理，告警状态显示为“已处理（处理方式）”；如果告警未处理，您可以参考本对话框中的分析和修复建议，单击对话框中的“告警处理”处理告警，具体处理方式参见处理告警。

简介

物理主机或云服务器在启动过程中基于可信根自行校对相关组件的度量值，如果实际值和标准值不一致，系统将产生可信异常启动告警；如果您已配置了可信应用白名单，不在白名单内的应用在运行时也将产生异常应用运行告警。为了您的资产安全，建议您及时处理这些告警，减少由于使用未知或遭到篡改的系统/软件/应用遭到攻击的可能性。

前提条件

对于可信启动异常告警，您需确保已开通可信的 ECS、可信BMS。

对于异常应用运行告警，您需确保已创建白名单自学习策略、已添加了白名单并应用策略等。

限制与指导

已处理的告警无法再执行告警处理。

操作步骤

(1)登录 TCS 控制台。

(2)单击左侧导航栏的“威胁检测”，进入“威胁检测”页面。

(3)参见过滤查看可信异常事件，筛选出目标告警。

(4)进入“告警处置”对话框。

方式1：在“告警详情”区域，选择待处理的告警，单击操作列的“告警处置”，弹出“告警处置”对话框。

方式2：在“告警详情”区域，选择待处理的告警，单击操作列的“详情与建议”，弹出“详情与建议”对话框，在对话框中单击“告警处理”，弹出“告警处置”对话框。

(5)在“告警处置”对话框中，选择处理方式。

发生告警时，建议您联系系统管理员深入检查系统及存在的恶意进程等信息，确认异常原因后再根据实际情况选择告警处理方式。

(6)单击“确定”，完成告警处理。