탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Trusted Extensions 사용자 설명서 Oracle Solaris 11 Information Library (한국어) |
Trusted Extensions 침입자로부터 시스템 보호
Trusted Extensions에서 제공하는 임의의 액세스 제어 및 필수 액세스 제어
Trusted Extensions의 응용 프로그램에 액세스
2. Trusted Extensions에 로그인(작업)
Trusted Extensions는 다음과 같은 방법으로 다른 레이블의 정보를 구분합니다.
MAC는 전자 메일을 포함한 모든 트랜잭션에 강제 시행됩니다.
파일은 레이블에 따라 별도의 영역에 저장됩니다.
데스크탑은 레이블이 지정된 작업 공간을 제공합니다.
사용자는 단일 레벨 또는 다중 레벨 세션을 선택할 수 있습니다.
객체의 데이터는 객체를 다시 사용하기 전에 지워집니다.
Trusted Extensions 세션에 처음 로그인하는 경우 단일 레이블 또는 다중 레이블에서 작동할지 여부를 지정합니다. 그런 다음 세션 클리어런스 또는 세션 레이블을 설정합니다. 이 설정은 작동하려는 보안 수준입니다.
단일 레벨 세션에서는 현재 세션 레이블과 동일하거나 해당 레이블에서 지배되는 객체에만 액세스할 수 있습니다.
다중 레벨 세션에서는 세션 클리어런스와 동일하거나 낮은 레이블의 정보에 액세스할 수 있습니다. 작업 공간마다 다른 레이블을 지정할 수 있습니다. 또한 동일 레이블에서 여러 작업 공간을 가질 수 있습니다.
표 1-2에서는 단일 레벨 및 다중 레벨 세션 간의 차이를 보여 주는 예를 제공합니다. 이 예는 CONFIDENTIAL: NEED TO KNOW(CNF: NTK)의 단일 레벨 세션에서 작동하도록 선택한 사용자를 CNF: NTK에서도 다중 레벨 세션을 선택한 사용자와 대조합니다.
왼쪽에 있는 세 개의 열은 로그인 시 각 사용자의 세션 선택을 보여 줍니다. 사용자는 단일 레벨 세션에 대해 세션 레이블을 설정하고 다중 레벨 세션에 대해 세션 클리어런스를 설정합니다. 시스템은 선택한 내용에 따라 올바른 레이블 구축기를 표시합니다. 다중 레벨 세션에 대한 샘플 레이블 구축기를 보려면 그림 3-4를 참조하십시오.
오른쪽에 있는 두 개의 열은 세션에서 사용할 수 있는 레이블 값을 표시합니다. 초기 작업 공간 레이블 열은 사용자가 시스템에 처음 액세스할 때의 레이블을 나타냅니다. 사용 가능한 레이블 열에는 세션 동안 전환하도록 허용된 레이블이 나열됩니다.
표 1-2 사용 가능한 세션 레이블의 초기 레이블 선택 효과
|
테이블의 첫 번째 행에 표시된 대로 사용자는 CNF: NTK의 세션 레이블로 단일 레벨 세션을 선택했습니다. 사용자는 유일하게 작동할 수 있는 레이블이기도 한 CNF: NTK의 초기 작업 공간 레이블을 가지고 있습니다.
테이블의 두 번째 행에 표시된 대로 사용자는 CNF: NTK의 세션 클리어런스로 다중 레벨 세션을 선택했습니다. 사용자의 초기 작업 공간 레이블은 Public이 사용자의 계정 레이블 범위에서 가장 낮은 레이블이기 때문에 Public으로 설정됩니다. 사용자는 Public 및 CNF: NTK 간에 모든 레이블을 전환할 수 있습니다. Public은 최소 레이블이고 CNF: NTK는 세션 클리어런스입니다.
Trusted Extensions 데스크탑에서 작업 공간은 하단 패널 오른쪽에 있는 작업 공간 패널을 통해 액세스됩니다.
그림 1-5 패널의 레이블이 지정된 작업 공간
각 작업 공간에는 레이블이 있습니다. 동일한 레이블을 여러 작업 공간에 할당할 수 있고, 여러 작업 공간에 각각 다른 레이블을 할당할 수도 있습니다. 작업 공간에서 시작된 창에는 해당 작업 공간의 레이블이 지정됩니다. 다른 레이블의 작업 공간으로 창이 이동되어도 창의 레이블은 원래대로 유지됩니다. 따라서 다중 레벨 세션에서는 서로 다른 레이블의 창을 하나의 작업 공간에 배열할 수 있습니다.
Trusted Extensions는 전자 메일에 MAC를 적용합니다. 현재 레이블에서 전자 메일을 보내고 읽을 수 있습니다. 계정 범위 내의 레이블에서 전자 메일을 받을 수 있습니다. 다중 레벨 세션에서는 해당 레이블에서 전자 메일을 읽을 수 있도록 다른 레이블에서 작업 공간을 전환할 수 있습니다. 동일한 메일 읽기 프로그램 및 동일한 로그인을 사용합니다. 시스템은 사용자의 현재 레이블에서만 메일을 읽을 수 있도록 허용합니다.
Trusted Extensions는 다시 사용하기 전에 사용자가 액세스할 수 있는 객체에서 기존 정보를 자동으로 지워 민감한 정보가 실수로 노출되지 않도록 방지합니다. 예를 들어 메모리 및 디스크 공간은 다시 사용하기 전에 지워집니다. 객체를 다시 사용하기 전에 민감도 데이터를 제거하지 못하면 부적절한 사용자에게 데이터가 노출될 위험이 있습니다. 장치 할당 해제를 통해 Trusted Extensions는 드라이버를 프로세스에 할당하기 전에 사용자가 액세스할 수 있는 모든 객체를 지웁니다. 하지만 다른 사용자가 드라이브에 액세스하도록 허용하기 전에 DVD 및 USB 장치와 같은 모든 이동식 저장소 매체를 지워야 합니다.