セキュリティー管理者は、ラベル付けの計画を実行するためにセキュリティーポリシーを作成します。
語句 REGISTERED を含む認可上限を持つユーザーであれば、社内のすべての場所にあるすべての登録された情報にアクセスできることを、セキュリティー管理者は認識しています。そこで、追加の対策が必要です。たとえば、認可上限に REGISTERED を持つユーザーに対し、UNIX のアクセス権を使用して自分のファイルを保護するよう指示します。ファイルの参照または変更を作成者のみができるようにアクセス権を設定します。次の例は、任意アクセス制御 (DAC) を適用して REGISTERED ディレクトリの内容を保護するユーザーの場合です。
% plabel REGISTERED % mkdir registered.dir % chmod 700 registered.dir % cd registered.dir % touch registered.file % ls -l -rwxrwxrwx registered.file % chmod 600 registered.file % ls -l -rw------- registered.file |
この例に示すように、機密ラベル REGISTERED で作業してファイルまたはディレクトリを作成するユーザーは、所有者のみにファイルの読み取りと書き込みの権限を設定する必要があります。ディレクトリのアクセス権は、読み取り、書き込み、および検索を、所有者のみが行うことができるように設定します。これによって、REGISTERED で作業できるほかのユーザーでもそのファイルを読み取れなくなります。
次の表は、さまざまな作業グループによって使用されるプリンタの設定方法を示します。
表 6–1 各場所に設置されているプリンタのラベル範囲の設定例
プリンタの設置場所 |
アクセスのタイプ |
ラベル範囲 |
---|---|---|
ロビーや共有の会議室 |
全員 |
PUBLIC 〜 PUBLIC |
社内プリンタルーム |
全従業員および機密保持契約に署名した者 |
〜PUBLIC 〜 INTERNAL_USE_ONLY |
1 つのグループに制限された区域 |
NEED_TO_KNOW group-name コンパートメントで指定されたグループのメンバー |
NEED_TO_KNOW group-name 〜 NEED_TO_KNOW group-name |
厳密に制限された区域 |
認可上限が REGISTERED に格付けされた者のみ |
REGISTERED 〜 REGISTERED |
詳細は、『Solaris Trusted Extensions 管理の手順』の第 15 章「ラベル付き印刷の管理 (手順)」を参照してください。
使用制限されているプリンタにアクセスする人に対して、次のように指示します。
プリンタバナーページとトレーラページにある指示に従って情報を保護すること。
バナーページもトレーラページもないジョブをシュレッダにかけること。また、バナーページにもトレーラページにも照合ジョブ番号が付与されていないジョブもシュレッダにかけること。