test

Trusted Solaris のラベル管理

インストール後の設定時のラベル指定

セキュリティ管理者役割が作成した新規ファイルに問題がある場合に備えて、インストールチームは、あらかじめインストールされている label_encodings(4) ファイルの印刷コピーとオンラインコピーを作成しておきます。

セキュリティ管理者役割は、任意のテキストエディタを使って label_encodings(4) ファイルを作成し、「エンコーディングの検査 (Check Encodings)」アクションを使ってファイルを検査する必要があります。ファイルが「エンコーディングの検査 (Check Encodings)」アクションの検査に合格すると、その新しいファイルをインストールするかどうかをたずねるプロンプトが表示されます。セキュリティ管理者役割が肯定応答を返すと、既存の label_encodings ファイルが上書きされます。「エンコーディングの検査 (Check Encodings)」アクションは、既存ファイルを上書きする前に、label_encodings.orig という名前でバックアップを作成します。

注 -

Solar Systems 社のエンコーディングは、画面の例では次の字体で表示されます。User Type font

VERSION のエンコーディング

VERSION の文字列が、社名、タイトル、バージョン番号、および日付によって変更された様子を次の列に示します。

例 5-2 変更された VERSION のエントリ


VERSION= Solar Systems, Inc. Example Version - 2.2 00/04/18

CLASSIFICATIONS のエンコーディング

表 5-2表 5-3、および表 5-4 の Solar Systems 社の格付けとその値を CLASSIFICATIONS セクションに追加したものを次の例に示します。

例 5-3 変更された CLASSIFICATIONS セクション


CLASSIFICATIONS:

name= PUBLIC; sname= PUBLIC; value= 1;
name= INTERNAL_USE_ONLY; sname= INTERNAL; aname= INTERNAL; value= 4;
name= NEED_TO_KNOW; sname= NEED_TO_KNOW; aname= NEED_TO_KNOW; value= 5;
name= REGISTERED; sname= REGISTERED; aname= REGISTERED; value= 6;
注 -

格付けには、スラッシュ (/) やコンマ (,) は使用しないでください。格付けは、最下位から順に指定します。

SENSITIVITY LABELS のエンコーディグ

表 5-3 のコンパートメントは、次の例で示した SENSITIVITY LABELS:WORDS: 例でエンコーディングされます。

この例では、必要な組み合わせも、組み合わせに対する制約もありません。

例 5-4 SENSITIVITY LABELS セクションの変更された WORDS:


SENSITIVITY LABELS:

WORDS:

name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20;
minclass= NEED_TO_KNOW;
name= EXECUTIVE_MGMNT_GROUP; sname= EMG; compartments= 11;
minclass= NEED_TO_KNOW;
name= SALES; sname= SALES; compartments= 12;
minclass= NEED_TO_KNOW;
name= FINANCE; sname= FINANCE; compartments= 13;
minclass= NEED_TO_KNOW;
name= LEGAL; sname= LEGAL; compartments= 14;
minclass= NEED_TO_KNOW;
name= MARKETING; sname= MRKTG; compartments= 15 20; minclass= NEED_TO_KNOW;
name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW;
name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW;
name= MANUFACTURING; sname= MANUFACTURING; compartments= 18;
minclass= NEED_TO_KNOW;
name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19;
minclass= NEED_TO_KNOW;
name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW;

REQUIRED COMBINATIONS:

COMBINATION CONSTRAINTS:

INFORMATION LABELS: のエンコーディング

Trusted Solaris 7 では情報ラベルは使用されませんが、INFORMATION LABELS: WORDS: セクションに値を指定しないと、ファイルはエンコーディング検査に合格しません。次の例のようにして、セキュリティ管理者役割で SENSITIVITY LABELS: WORDS: セクションから語句をコピーしてください。

例 5-5 INFORMATION LABELS セクションの WORDS:


INFORMATION LABELS:

WORDS:

name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19;
minclass= NEED_TO_KNOW;
name= MANUFACTURING; sname= MANUFACTURING; compartments= 18;
minclass= NEED_TO_KNOW;
name= ENGINEERING; sname= ENG; compartments= 17 20; minclass=NEED_TO_KNOW;
name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass=NEED_TO_KNOW;
name= MARKETING; sname= MRKTG; compartments= 15 20; minclass=NEED_TO_KNOW;
name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW;
name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW;
name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW;
name= EXECUTIVE_MGMNT_GROUP; sname= EMG; compartments= 11;
minclass= NEED_TO_KNOW;
name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW;
name= PROJECT_TEAM; sname= P_TEAM; compartments= 20; minclass= NEED_TO_KNOW;
name= DO_NOT_FORWARD; sname= NO_FORWD; minclass= INTERNAL; markings= 0;
access related;
name= RELEASE_AFTER_BETA; sname= AFTER_BETA; minclass= NEED_TO_KNOW;
markings= ‾0 1 ‾2; access related;
name= RELEASE_AFTER_FCS; sname= AFTER_FCS; minclass= NEED_TO_KNOW;
markings= ‾0 ‾1 2; access related;

REQUIRED COMBINATIONS:

COMBINATION CONSTRAINTS

CLEARANCES: のエンコーディング

CLEARANCES: の語句は SENSITIVITY LABELS: の語句と同じなので、次の例の語句は、例 5-4 のものと同じになります。

例 5-6 CLEARANCES セクションの変更された WORDS:


CLEARANCES:

WORDS:

name= ALL_DEPARTMENTS; sname= ALL; compartments= 11-20; minclass= NEED_TO_KNOW;
name= EXECUTIVE_MANAGEMENT_GROUP; sname= EMG; compartments= 11;
minclass= NEED_TO_KNOW;
name= SALES; sname= SALES; compartments= 12; minclass= NEED_TO_KNOW;
name= FINANCE; sname= FINANCE; compartments= 13; minclass= NEED_TO_KNOW;
name= LEGAL; sname= LEGAL; compartments= 14; minclass= NEED_TO_KNOW;
name= MARKETING; sname= MRKTG; compartments= 15 20; minclass= NEED_TO_KNOW;
name= HUMAN_RESOURCES; sname= HR; compartments= 16; minclass= NEED_TO_KNOW;
name= ENGINEERING; sname= ENG; compartments= 17 20; minclass= NEED_TO_KNOW;
name= MANUFACTURING; sname= MANUFACTURING; compartments= 18; minclass= NEED_TO_
KNOW;
name= SYSTEM_ADMINISTRATION; sname= SYSADM; compartments= 19;
minclass= NEED_TO_KNOW;
name= PROJECT_TEAM; sname= P_TEAM; compartments= 20;
minclass= NEED_TO_KNOW;

REQUIRED COMBINATIONS:

COMBINATION CONSTRAINTS:

CHANNELS: のエンコーディング

この例では、SENSITIVITY LABELS:WORDS: セクションのコンパートメント語句に割り当てられたコンパートメントビットと同じものを使用して、各グループ名のコンパートメントに 1 つのチャネルを対応させエンコーディングしています。接頭辞は DISTRIBUTE ONLY TO として定義されています。接尾辞は、(NON_DISCLOSURE AGREEMENT REQUIRED) として定義されています。


DISTRIBUTE ONLY TO GROUP_NAME (NON-DISCLOSURE AGREEMENT REQUIRED)

次の例に示したチャネル指定によって、上のような取り扱い警告セクションの目的の語句が作成されます。

注 -

次の例に示すように接頭辞と接尾辞は、冒頭で定義され、それらに割り当てられたコンパートメントはありません。冒頭の接頭辞と接尾辞は、チャネルを定義するのに使用されます。そのため、各チャネルには別に接頭辞と接尾辞が割り当てられています。

例 5-7 CHANNELS セクションの変更された WORDS:


CHANNELS:

WORDS:

name= DISTRIBUTE_ONLY_TO;       prefix;
name= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
suffix;

name= EXECUTIVE_MANAGEMENT_GROUP;
prefix= DISTRIBUTE_ONLY_TO; compartments= 11;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= SALES; prefix= DISTRIBUTE_ONLY_TO; compartments= 12;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= FINANCE; prefix= DISTRIBUTE_ONLY_TO; compartments= 13;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= LEGAL; prefix= DISTRIBUTE_ONLY_TO; compartments= 14;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= MARKETING; prefix= DISTRIBUTE_ONLY_TO;
compartments= 15 20;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= HUMAN_RESOURCES; prefix= DISTRIBUTE_ONLY_TO;
compartments= 16;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= ENGINEERING; prefix= DISTRIBUTE_ONLY_TO;
compartments= 17 20;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= MANUFACTURING; prefix= DISTRIBUTE_ONLY_TO;
compartments= 18;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= SYSTEM_ADMINISTRATION; prefix= DISTRIBUTE_ONLY_TO;
compartments= 19;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);
name= PROJECT_TEAM; prefix= DISTRIBUTE_ONLY_TO; compartments= 20;
suffix= EMPLOYEES (NON-DISCLOSURE AGREEMENT REQUIRED);

PRINTER BANNERS のエンコーディング

注 -

「プリンタバナー」という用語は、label_encodings(4) ファイルでは特別な意味があります。これは、ジョブの印刷出力の前に出力されるバナーページのことを指しているわけではありません。プリンタバナーは、それに関連付けられたコンパートメントがジョブのラベルに明記されているときにプリンタバナーページに表示される文字列のことです。

次のようにプリンタバナーを指定すると、必要な語句が PRINTER BANNERS セクションに指定されます。

注 -

次の例のように、接頭辞はセクションの一番上に定義します。接頭辞にはコンパートメントを割り当てません。接頭辞は PRINTER BANNERS: を定義するときに使用し、プリンタバナーごとに割り当てます。

例 5-8 変更された PRINTER BANNERS セクションの WORDS:


PRINTER BANNERS:

WORDS:

name= COMPANY PROPRIETARY/CONFIDENTIAL:;       prefix;

name= ALL_DEPARTMENTS; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11-20;
name= EXECUTIVE_MANAGEMENT_GROUP; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 11;
name= SALES; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 12;
name= FINANCE; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 13;
name= LEGAL; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 14;
name= MARKETING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 15 20;
name= HUMAN_RESOURCES; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 16;
name= ENGINEERING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 17 20;
name= MANUFACTURING; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 18;
name= SYSTEM_ADMINISTRATION; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 19;
name= PROJECT_TEAM; prefix= COMPANY PROPRIETARY/CONFIDENTIAL:;
suffix=(NON-DISCLOSURE AGREEMENT REQUIRED); compartments= 20;

ACCREDITATION RANGE のエンコーディング

表 5-3 の組み合わせ上の制約と表 5-8 の最下位の認可上限、最下位の機密ラベル、および最下位の機密保護の格付けは、次の例に示した ACCREDITATION RANGE: でエンコーディングされます。PUBLICINTERNAL_USE_ONLY がどのコンパートメントとも一緒にラベルに表示されないように定義されているのに対して、NEED_TO_KNOW はどのようなコンパートメントの組み合わせとでも一緒にラベルに表示されるように定義されています。REGISTERED は、どのコンパートメントとも一緒には表示されません。

例 5-9 変更された ACCREDITATION RANGE セクション


ACCREDITATION RANGE:

classification= PUBLIC; only valid compartment combinations:

PUBLIC

classification= INTERNAL_USE_ONLY; only valid compartment combinations:

INTERNAL

classification= NEED_TO_KNOW; all compartment combinations valid;

classification= REGISTERED; only valid compartment combinations:

REGISTERED


minimum clearance= PUBLIC;
minimum sensitivity label= PUBLIC;
minimum protect as classification= PUBLIC;

ラベルビルダーと色の使用語句のエンコーディング、およびその他の LOCAL DEFINITIONS の値

次の図にも示すように、Solar Systems 社の LOCAL DEFINITIONS: セクションのデフォルト値は、default flagsforced flagsDefault Label View も含め、一切変更されていません。

例 5-10 LOCAL DEFINITIONS セクションのデフォルト値の使用


LOCAL DEFINITIONS:


default flags= 0x0;                     
forced flags= 0x0;

Default Label View is External;

ラベルビルダーの見出し名のエンコーディング

ラベルビルダーに使用されている見出し名のデフォルト設定値を次の図に示します。

例 5-11 ラベルビルダーのデフォルト見出し名


Classification Name= Class;
Compartments Name= Comps;

ラベルビルダーは、ラベルを設定する必要のあるときは必ず表示されます。たとえば、次の図は、Solar Systems 社で指定された見出し名を、すなわち、Class の代わりに ClassificationComps の代わりに Departments を表示したラベルビルダーを示しています。

図 5-8 見出しが変更された「ワークスペースの SL を変更 (Change Workspace SL)」ラベルビルダー

Graphic

次の例に、Solar Systems 社のセキュリティ管理者役割が Classification Name および Compartments Name のデフォルト値に加えた変更を示します。

例 5-12 ラベルビルダーの使用語句に加えられた変更


Classification Name= Classification;
Compartments Name= Departments;

COLOR NAMES のエンコーディング

例 5-13 に示す色の名前は、表 5-9 のワークシートと同じです。

例 5-13 COLOR NAMES セクション 


COLOR NAMES:

       	label= Admin_Low;       color= #bdbdbd;

        label= PUBLIC;        color= green;
        label= INTERNAL_USE_ONLY;  color= yellow;
        label= NEED_TO_KNOW;  color= blue;
        label= NEED_TO_KNOW EMG;  color= #7FA9EB;
        label= NEED_TO_KNOW SALES;  color= #87CEFF;
        label= NEED_TO_KNOW FINANCE;  color= #00BFFF;
        label= NEED_TO_KNOW LEGAL;  color= #7885D0;
        label= NEED_TO_KNOW MRKTG;  color= #7A67CD;
        label= NEED_TO_KNOW HR;  color= #7F7FFF;
        label= NEED_TO_KNOW ENG;  color= #007FFF;
        label= NEED_TO_KNOW MANUFACTURING;  color= #0000BF;
        label= NEED_TO_KNOW PROJECT_TEAM;  color= #9E7FFF;
        label= NEED_TO_KNOW SYSADM; color= #5B85D0;
        label= NEED_TO_KNOW ALL; colo= #4D658D;
        label= REGISTERED;  color= red;

        label= Admin_High;      color= #636363;

*
* End of local site definitions