test

Solaris Trusted Extensions ラベルの管理

Procedureエンコーディングファイルを計画する

次の手順は、あとで安全に拡張できる正確な label_encodings ファイルの作成に役立ちます。

注 –

CLASSIFICATIONS および COMPARTMENTS は、あとでセキュリティー管理者役割がテキスト表現を変更できます。ただし、整数値およびビット値を変更すると、重大な問題が発生する可能性があります。

  1. label_encodings ファイルを作成します。

    参考として、「エンコーディングファイルのソース」を参照してください。手順については、「ラベルエンコーディングの管理 (作業マップ)」を参照してください。

  2. 項目を追加する余地を残します。

    1. 格付けの番号付けの際に間を空けます。

      たとえば、格付けを番号付けする際に 10 ずつ間を空けます。このように間を空けておけば、あとから格付けを追加できます。

    2. コンパートメントビットに間を空けます。

      あとで追加する場合に備えて、コンパートメントビット番号の間を空けておきます。

    3. 一部の初期コンパートメントビットを使用しないで、 あとで定義できるようにします。

      インバースコンパートメントを使用する場合は、「デフォルト語句とインバース語句」を参照してください。インバースコンパートメントについての詳細は、DIA 参考資料『コンパートメントモードワークステーションのラベル作成: エンコード形式』を参照してください。

  3. サイトの格付けを決定します。

    図 1–2 に示すように、定義可能な格付けの総数は 254 です。 格付けに 0 は使用しないでください。

    システムは、格付け値 10 は 2 よりセキュリティー上重要であると判断します。セキュリティーレベルの決定にはテキスト表現は使用されません。

    同じ格付け値を異なる名前に割り当てることはできません。格付けは、互いに高低の差があるか、無関係である必要があります。2 つのラベルが同一レベルとして評価されることはありません。

    格付けの計画のために、表を使用できます。記入例は、表 6–2 を参照してください。

  4. コンパートメントを決定します。

    データおよびプログラムのグループ化の方法を決定します。データやプログラムを混在させるかどうかを決定します。たとえば、発注データは、人事ファイルを管理するプログラムから参照できないようにします。また、出荷追跡問題を処理するプログラムからは、発注データにアクセスできるようにします。

    ここでユーザーは考慮に入れません。「だれが」ではなく「何を」を検討します。

  5. 名前を設計します。

    label_encodings ファイルの CLASSIFICATIONS および WORDS には、必須の長形式名と省略可能な短形式名があります。ラベルを指定する場合、短形式名を長形式名に代えて使用できます。

  6. 関係を調整します。

    コンパートメントは、本来、階層構造ではありません。ただし、コンパートメントが階層関係を持つように設定できます。関係を設定する前に、『コンパートメントモードワークステーションのラベル作成: エンコード形式』の例を参照してください。

    この手順を簡単に実行する 1 つの方法として、大きなボード、および格付けとコンパートメントを記した紙片を使用します。例については、図 2–1 を参照してください。この方法によって、関係を視覚化し、満足のいくまで各部分を再調整できます。

    注 –

    ほかの組織のラベルとの互換性が必要なエンコーディングを作成するのでなければ、任意の有効値をコンパートメントビットとして割り当てることができます。ただし、自分の使用している番号とその相互関係を把握しておいてください。

    図 2–1 ラベルの関係を示す計画ボードの例

    図は、管理者がラベル割り当てを計画する際に役立つボードを示しています。

  7. どの認可上限をどのユーザーに割り当てるかを決定します。

    認可上限を計画するために表を使用できます。記入例は、表 6–5 を参照してください。

    認可上限をユーザーに割り当てる場合、その格付けはユーザーが作業できるすべての格付けより優位にします。認可上限は、ユーザーの最高の作業格付けと同じにできます。認可上限のコンパートメントには、ユーザーが必要とする可能性があるすべてのコンパートメントを含めます。

  8. 機密度の低い順からラベルを並べます。

  9. それぞれの語句の定義を、整数、ビットパターン、論理関係式のいずれかの、内部形式と関連付けます。

    コンパートメントビットの割り当てを管理するために表を使用できます。記入例は、表 6–4 を参照してください。

  10. SENSITIVITY LABELSWORDS セクションを INFORMATION LABELS セクションにコピーします。

    Trusted Extensions で情報ラベルはサポートされませんが、エンコーディングファイルを有効にするため、INFORMATION LABELS: WORDS: セクションと SENSITIVITY LABELS: WORDS: セクションを同じにする必要があります。

  11. どの色をどのラベルに関連付けるかを決定します。

    参考および例は、「ラベルの色の指定」を参照してください。

  12. ラベルの関係を分析します。

    Trusted Extensions を設定しているシステムでは、chk_encodings -a コマンドを使用して、ラベルの関係に関する詳細なレポートをファイルに書き込みます。


    # chk_encodings -a encodings-file