В какой степени из угрозы безопасности публикуется концептуальная схема?

Я запрашивал концептуальные схемы из информационной системы правительственного агентства для своих исследований. Мой запрос был отклонен на том основании, что это является угрозой безопасности.

У меня действительно нет обширного опыта работы с базами данных, поэтому я не могу проверить эту претензию. Является ли раскрытие вашей схемы действительно большим риском для безопасности? Я имею в виду, что они довольно абстрактны и отделены от аппаратных и программных реализаций. Было бы полезно оценить объяснение того, как злоумышленник может использовать концептуальные схемы. Спасибо.

15 голосов | спросил R.K. 7 MarpmWed, 07 Mar 2012 13:30:42 +04002012-03-07T13:30:42+04:0001 2012, 13:30:42

4 ответа


12

Согласовано с gbn (так +1), но я думаю, что есть две другие возможности:

  1. Вполне возможно, что их концептуальная схема имеет много перекрытий с их физической схемой. Знание имен таблиц дает вам достойный начальный момент при планировании ваших атак SQL-инъекций.

  2. Скорее всего, они не имеют документальной схемы. Организации, которые позволяют программистам создавать свои собственные базы данных, часто не имеют каких-либо ограничений в процессе разработки базы данных, идя прямо на физическую реализацию без какого-либо первоначального проектирования. Они могут не захотеть признаться в этом, или они не хотят идти на время и проблемы с созданием концептуального документа, который никогда не существовал.

Изменить: OP прокомментировал, что организация, запрашиваемая для их концептуальной схемы, является органом управления. Это, на мой взгляд, добавляет еще одну вероятную возможность:

Гражданские служащие не известны своей любовью к риску, и поэтому чиновник среднего звена в правительственном департаменте вряд ли сможет высунуть шею и высвободить информацию на всякий случай, если это может привлечь внимание или вверх по иерархии.

Я все еще думаю, что # 2 наиболее вероятно.

ответил Joel Brown 7 MarpmWed, 07 Mar 2012 16:13:07 +04002012-03-07T16:13:07+04:0004 2012, 16:13:07
6

Я бы предположил, что это риск интеллектуальной собственности, но они не хотели этого говорить.

ответил gbn 7 MarpmWed, 07 Mar 2012 13:54:16 +04002012-03-07T13:54:16+04:0001 2012, 13:54:16
3

Я полностью согласен с тем, что концептуальную схему секретной информации нужно держать в секрете.

Если шпионы собирают небольшие лакомые кусочки информации, которые каким-то образом проскальзывают через трещины, все еще остается проблема перевода этих лакомых кусочков в контекст. Концептуальная схема обеспечивает контекст. Форма и содержание собранных лакомых кусочков могут существенно отличаться от формы и содержимого данных в базе данных, но конкреционная схема обеспечивает отличное руководство для декодирования материала.

При работе над восстановлением данных для компаний я всегда считал надежную концептуальную схему золотым рудником. Безусловно, эти проекты не предусматривали шпионажа. Но можно легко увидеть, как переносится тот же анализ.

ответил Walter Mitty 7 MarpmWed, 07 Mar 2012 17:30:32 +04002012-03-07T17:30:32+04:0005 2012, 17:30:32
2

Многие поставщики пытаются сохранить схемы базы данных близко к своей груди. Так часто, как нет, речь идет о том, чтобы держать крышку на своих грязных маленьких секретах, таких как отсутствие целостности данных или явно плохой дизайн базы данных. Другие причины включают:

  • Многие программные продукты имеют плохо разработанные схемы баз данных.

  • Желание не поддерживать рабочую нагрузку поддержки.

  • Попытка заставить клиентов покупать консультационные услуги для работы по интеграции систем.

  • Желание максимизировать затраты на выход, чтобы препятствовать переходу клиентов на продукты конкурентов.

К сожалению, вы не работаете с клиентом, но если бы вы были, вы могли бы использовать аргумент в соответствии с тем, что запрашивает только то, что недостатки в архитектуре программного обеспечения так, что подверженность схеме базы данных может представлять угрозу безопасности.

ответил ConcernedOfTunbridgeWells 7 MarpmWed, 07 Mar 2012 16:29:29 +04002012-03-07T16:29:29+04:0004 2012, 16:29:29

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132