인가 범위

인가 범위는 사용자 클래스에 대한 레이블 범위입니다. 이 범위는 조직의 보안 정책의 일부로서 보안 관리자가 승인합니다. label_encodings 파일에서 정의된 인가 범위에는 다음의 두 가지가 있습니다.

• 시스템 인가 범위

• 사용자 인가 범위

시스템 인가 범위

시스템 인가 범위는 관리자를 위한, 잠재적으로 사용할 수 있는 민감도 레이블 및 정보 레이블의 완전한 집합입니다. 시스템 인가 범위에는 ADMIN_HIGH 및 ADMIN_LOW가 포함되며 label_encodings 파일의 규칙에 의해 제한됩니다. 시스템 인가 범위의 규칙에 따라 시스템에 허가될 가능성이 전혀 없는 레이블 조합에는 자격이 부여되지 않습니다.

다음 그림은 시스템 인가 범위에서 허용된 레이블에 대해 규칙이 어떻게 적용되는지 보여주는 예제입니다.

그림 1-1 (a)는 분류 등급 TS(TOP SECRET), S(SECRET) 및 C(CONFIDENTIAL)와 구획 A 및 B로 만들 수 있는 모든 조합을 나타냅니다.

그림 1-1 (b)는 label_encodings 파일의 REQUIRED COMBINATIONS 섹션의 일반적 규칙 및 효과를 나타냅니다. 화살표는 규칙에 의해 자격이 부여되지 않은 레이블을 가리키고 있으며 이들 레이블에는 선이 그어져 있습니다. 구문 B A는 B를 구획으로 가진 레이블은 모두 A를 포함해야 함을 의미합니다. 반대의 경우는 적용되지 않습니다. 구획 A는 다른 구획과 조합할 필요가 없기 때문입니다. 구획 B는 A와 조합할 수 있으므로 TS B, S B 및 C B 레이블은 형식이 잘 구성되지 않습니다. 따라서 이들은 시스템 인가 범위를 벗어납니다.

그림 1-1 시스템 인가 범위가 규칙에 의해 제약을 받는 방식

사용자 인가 범위

사용자 인가 범위는 단일 사용자가 액세스 가능한 최대 레이블 집합(시스템 인가 범위에서)입니다. 이 범위는 시스템 인가 범위의 일부로서 ADMIN_HIGH 및 ADMIN_LOW가 제외되며 label_encodings 파일의 ACCREDITAION RANGE 부분에 있는 규칙 집합의 제약을 받습니다. 사용자 인가 범위에 대한 규칙에 따라 관리자에게만 허가된 레이블 조합에 대한 자격이 부여되지 않습니다. 다음 그림의 사용자 인가 범위는 ACCREDITATION RANGE 섹션에 설명된 3개의 규칙 유형과 이들 유형이 사용자 인가 범위에 가진 효과를 나타내는 예제의 연장입니다. 화살표는 특정 규칙에 의해 허용된 양호한 형식 구성 상태의 레이블을 가리킵니다.

그림 1-2 label_encodings 파일의 ACCREDITATION RANGE 부분

위의 그림과 같이 사용자 인가 범위에는 ADMIN_HIGH 및 ADMIN_LOW가 제외됩니다. 여기에는 TS B를 제외한 위에서 언급한 REQUIRED COMBINATION 규칙 B A에 의해 배제된(같은 이유로 인해 S B 및 C B는 허용되지 않음) 모든 TS 조합이 포함됩니다. S A B가 S 분류 등급을 위한 유일한 유효 조합입니다. C A를 제외한 모든 C 조합이 유효합니다(C B는 이미 배제되었음을 상기하십시오).