「強制アクセス制御」の版間の差分
編集の要約なし |
編集の要約なし |
||
1行目: | 1行目: | ||
[[Mandatory access control]][[MAC]]は、コンピュータのプロセス、データ、システムデバイスを、誤用から守り抑制する技術である。 |
[[Mandatory access control]][[MAC]]は、コンピュータのプロセス、データ、システムデバイスを、誤用から守り抑制する技術である。 |
||
この技術は、ユーザやグループの概念やファイルシステム権限のDACを拡張するものであり、それにとってかわる物である。 |
この技術は、ユーザやグループの概念やファイルシステム権限の[[Discretionary access control|DAC]]を拡張するものであり、それにとってかわる物である。 |
||
最も重要な特徴は、ユーザが自身が作ったリソースに完璧にアクセスできるわけではないということである。システムセキュリティポリシ(管理者によってセットされるのだが)が許可されるべきアクセスを全て決定づけるのであり、ユーザは、管理者が指定したものよりも限定的なアクセスを自分自身のリソースに認めることは許されていないのである。 |
最も重要な特徴は、ユーザが自身が作ったリソースに完璧にアクセスできるわけではないということである。システムセキュリティポリシ(管理者によってセットされるのだが)が許可されるべきアクセスを全て決定づけるのであり、ユーザは、管理者が指定したものよりも限定的なアクセスを自分自身のリソースに認めることは許されていないのである。 |
2005年11月8日 (火) 14:19時点における版
Mandatory access controlMACは、コンピュータのプロセス、データ、システムデバイスを、誤用から守り抑制する技術である。
この技術は、ユーザやグループの概念やファイルシステム権限のDACを拡張するものであり、それにとってかわる物である。
最も重要な特徴は、ユーザが自身が作ったリソースに完璧にアクセスできるわけではないということである。システムセキュリティポリシ(管理者によってセットされるのだが)が許可されるべきアクセスを全て決定づけるのであり、ユーザは、管理者が指定したものよりも限定的なアクセスを自分自身のリソースに認めることは許されていないのである。
DACシステムにおいては、ユーザに認められたリソースへのアクセスはユーザに全て委ねられているので、事故や悪意によって、権限のないユーザにアクセスを許可することになるのである。
目標は、全てのセキュリティに関連したラベルの評価に必要な構造を定義し、オペレーションズコンテキスト及び同様のデータのレベルに基づいて判断をすることである。
Flask構造はMACとともに、マルチレベルセキュリティシステムの技術を可能にするものである。
そのようなフレームワークは、特権ユーザあるいはプロセスが、あらゆるレベルにおいて、特別な秘密区分又は認可レベルにおける、情報、プロセス、デバイスにアクセスすることを予防するのである。
これは、既知及び未知のユーザ及びプロセス(未知のプログラムはデバイスやファイルアクセスがモニタされかつ(又は)制御されるべき信頼されていないアプリケーションということになるだろうが)に、制限メカニズムを提供する。
明白なことだが、コンピュータの内部において、データと命令を分離するために働く仕組みには、 抜け道があってはならない。
又この仕組みは、規則の有用性や効果のほどを決定するのに評価可能であり、常時発動され、不正書き換えできてはならない。