ラベルとセキュリティーポリシー

サイトセキュリティーポリシーは、組織がその専有情報を保護するために設定するセキュリティーポリシーです。Trusted Extensions ソフトウェアでは、ラベルおよび必須アクセス制御 (MAC) をこのポリシーに含めることができます。ラベルによって、システムセキュリティーポリシーの一部である一連の規則が実装されます。システムセキュリティーポリシーは、システムで処理される情報を保護するためにシステムソフトウェアから強制される規則です。セキュリティーポリシーという用語は、ポリシー自体を指す場合と、ポリシーの実装を指す場合があります。

Trusted Extensions によって構成されるすべてのシステムにはラベルがあります。ラベルは、label_encodings ファイルで指定されます。このファイルについては、label_encodings(4) のマニュアルページを参照してください。Solaris Trusted Extensions パッケージで提供されるエンコーディングファイルについては、「エンコーディングファイルのソース」を参照してください。

Trusted Extensions では、デフォルトバージョンの label_encodings ファイルがインストールされます。デフォルトバージョンはいくつかの商用ラベルを提供します。このバージョンは、場合によって、学習目的で本稼働環境以外でも使用されます。サイトでは、Solaris Trusted Extensions パッケージで提供されるラベルエンコーディングファイルのいずれかをカスタマイズすることもできます。サイト固有のファイルの例は、付録 A 「ラベルエンコーディングファイルのサンプル」を参照してください。

Trusted Extensions ネットワークのすべてのコンピュータには、サイトの label_encodings ファイルのコピーが必要です。コンピュータ相互運用性のため、ネットワーク内のすべてのコンピュータの label_encodings ファイルは互換性のある必要があります。少なくとも、各コンピュータがネットワーク内のほかのすべてのコンピュータで使用されるラベルを認識できるようにします。

特定の型のラベルは定義する必要があります。セキュリティー管理者は、ラベルの内部表現を構成する数値とビットを指定します。ユーザーおよび役割は、ラベルのそのテキスト表現を参照します。ラベル付けソフトウェアによって、ラベルの内部形式とテキスト形式が変換されます。label_encodings ファイルは、ラベルの内部表現をテキスト文字列に変換するための規則を提供します。そのテキスト文字列はデスクトップに表示できます。内部表現は監査証跡に記録され、praudit コマンドによって解釈されます。

「セキュリティー管理者」は、組織のセキュリティーポリシーの実装を定義および計画します。セキュリティー管理者は情報保護のための手順を定め、コンピュータユーザーおよび管理者が適切なトレーニングを受けるようにし、ポリシーが遵守されているかを監視します。

ソフトウェア内にセキュリティー管理者役割を作成します。この役割は、Trusted Extensions の管理について十分に理解している 1 人以上の管理者に割り当てられます。Trusted Extensions によって処理される最高レベルの情報を表示および保護するために、この管理者が認可されます。セキュリティー管理者の責務の 1 つは、Sun によってインストールされる label_encodings ファイルの代わりとなる、サイト用のファイルを作成することです。管理者は、ラベルをデスクトップ上に表示するかどうかを決定することもできます。ラベルが表示されなくても、システム上のオブジェクトおよびプロセスにはラベルが付けられ、MAC が強制的に行われます。

Trusted Extensions では、組織のセキュリティーポリシーを実施するためのツールおよび機能がセキュリティー管理者役割に提供されています。この役割になるには、最初、一般ユーザーとしてログインしてください。サイトによっては、サイトのセキュリティーポリシーを定義するセキュリティー管理者が、ポリシーを実装する管理者と異なることもあります。