Насколько опасны для безопасности публикуемые концептуальные схемы?


15

Я запрашивал концептуальные схемы из информационной системы правительственного агентства для моего исследования. Моя просьба была отклонена на том основании, что она представляет угрозу безопасности.

У меня нет большого опыта работы с базами данных, поэтому я не могу подтвердить это утверждение. Раскрытие вашей схемы - это действительно большая угроза безопасности? Я имею в виду, что они довольно абстрактны и отделены от аппаратных и программных реализаций. Было бы полезно узнать, как злоумышленник может использовать концептуальные схемы. Благодарю.


Вы предлагали подписать NDA?
понедельник,

Это было для моей магистерской диссертации. Результаты будут опубликованы, поэтому нет. Если мне придется подписать соглашение о неразглашении, тогда для меня это не принесет пользы.
РК

Если это государственное агентство США, вы можете рассмотреть вопрос о подаче заявки на FOIA . В вашем профиле написано, что вы из Филиппин, где действует законодательство .
josh3736

Да. Жаль, что у нас еще нет законодательства. Пройдет какое-то время, прежде чем они смогут принять это законодательство. Политикам это не очень нравится.
РК

Ответы:


12

Согласился с gbn (так +1), но я думаю, что есть еще две возможности:

  1. Вполне возможно, что их концептуальная схема во многом совпадает с их физической схемой. Знание имен таблиц дает вам хороший старт при планировании атак SQL-инъекций.

  2. Весьма вероятно, что их концептуальная схема не документирована. Организации, которые позволяют программистам разрабатывать свои собственные базы данных, часто не проявляют строгости в процессе проектирования баз данных, переходя непосредственно к физической реализации без какого-либо первоначального проектирования. Они могут не хотеть признать это, или они могут не хотеть тратить время и проблемы на создание концептуального документа, который никогда не существовал.

Изменить: OP прокомментировал, что организация, запрашиваемая для их концептуальной схемы, является государственным агентством. Это, на мой взгляд, добавляет еще одну вероятную возможность:

Государственные служащие не известны своей любовью к риску, и поэтому чиновник среднего звена в правительственном департаменте вряд ли выкинет шею и выпустит информацию на случай, если это может привлечь внимание или гнев кого-то еще выше по иерархии ,

Я все еще думаю, что № 2 является наиболее вероятным.



6

Я бы предположил, что это риск интеллектуальной собственности, но они не хотели говорить об этом


Так что не так уж много рисков для безопасности?
РК

Согласился, но я не удивлюсь, если этот страх раздулся. Скорее всего, дело в том, что какой-то менеджер думает: «В этом нет ничего для меня, так зачем рисковать?»
Джоэл Браун

Я просто думаю, что это безопасность по неизвестности.
РК

3

Я полностью согласен с тем, что концептуальная схема, стоящая за секретной информацией, также должна храниться в секрете.

Если шпионы собирают небольшие кусочки информации, которые каким-то образом проскальзывают через трещины, остается проблема вставки этих кусочков в контекст. Концептуальная схема обеспечивает контекст. Форма и содержание собранных лакомых кусочков могут существенно отличаться от формы и содержания данных в базе данных, но конкретная схема обеспечивает превосходное руководство для декодирования материала.

Работая над восстановлением данных для компаний, я всегда считал золотую жилу надежной концептуальной схемой. Безусловно, эти проекты не были связаны со шпионажем. Но легко увидеть, как переносится тот же анализ.


2

Многие поставщики стараются держать свои схемы баз данных близко к груди. Как правило, речь идет о том, чтобы скрывать свои грязные маленькие секреты, такие как полное отсутствие целостности данных или явно плохой дизайн базы данных. Другие причины включают в себя:

  • Многие программные продукты имеют плохо разработанные схемы баз данных.

  • Желание не брать на себя вспомогательную нагрузку.

  • Попытки заставить клиентов покупать консультационные услуги для системной интеграции.

  • Желание максимизировать издержки на выходе, чтобы отговорить клиентов от перехода на продукты конкурентов.

К сожалению, вы не работаете на клиента, но если бы вы были, вы могли бы использовать аргумент, чтобы выяснить, какие архитектурные недостатки есть у программного обеспечения, так что раскрытие схемы базы данных может быть угрозой безопасности.


Мои извинения, если мой вопрос не был яснее. Я просил схемы базы данных правительственного агентства.
РК
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.