Quanto di un rischio per la sicurezza sono pubblicati schemi concettuali?

Stavo richiedendo gli schemi concettuali al sistema informativo di un'agenzia governativa per le mie ricerche. La mia richiesta è stata respinta in quanto costituisce un rischio per la sicurezza.

Non ho davvero una vasta esperienza di database, quindi non posso verificare tale affermazione. La divulgazione del tuo schema è davvero un grosso rischio per la sicurezza? Voglio dire, quelli sono piuttosto astratti e divorziati dalle implementazioni hardware e software. Sarebbe apprezzata una spiegazione di come un attaccante potesse sfruttare schemi concettuali. Grazie.

Concordato con gbn (quindi +1), ma penso che ci siano altre due possibilità in gioco:

1. È del tutto possibile che il loro schema concettuale abbia molte sovrapposizioni con il loro schema fisico. Conoscere i nomi delle tabelle ti dà un discreto vantaggio nella pianificazione dei tuoi attacchi SQL injection.

2. È molto probabile che non abbiano documentato il loro schema concettuale. Le organizzazioni che consentono ai programmatori di progettare i propri database spesso non hanno alcun rigore nel processo di progettazione del database, andando direttamente all'implementazione fisica senza alcuna progettazione iniziale. Potrebbero non volerlo ammettere, o potrebbero non voler andare al tempo e ai problemi di creare un documento concettuale che non è mai esistito.

Modifica: OP ha commentato che l'organizzazione richiesta per il loro schema concettuale è un'agenzia governativa. Questo a mio avviso aggiunge un'altra probabile possibilità:

I dipendenti pubblici non sono noti per il loro amore per l'assunzione di rischi e quindi è improbabile che un funzionario di medio livello in un dipartimento governativo sporga il collo e rilasci informazioni nel caso in cui possa attirare l'attenzione o l'ira di qualcuno più in alto nella gerarchia .

Continuo a pensare che il numero 2 sia il più probabile.

Suggerirei che è un rischio di proprietà intellettuale, ma non volevano dirlo

Concordo pienamente sul fatto che anche lo schema concettuale alla base delle informazioni segrete debba essere tenuto segreto.

Se le spie raccolgono piccole notizie di informazioni che in qualche modo scivolano attraverso le fessure, rimane ancora il problema di mettere quelle notizie nel contesto. Lo schema concettuale fornisce il contesto. La forma e il contenuto dei bocconcini raccolti possono essere sostanzialmente diversi dalla forma e dal contenuto dei dati nel database, ma lo schema concettuale fornisce una guida eccellente per decodificare il materiale.

Nel lavorare sul recupero dei dati per le aziende, ho sempre considerato uno schema concettuale affidabile come una miniera d'oro. A dire il vero, questi progetti non hanno comportato spionaggio. Ma può facilmente vedere come si ripercuote la stessa analisi.

Molti venditori cercano di mantenere gli schemi del database vicini al loro petto. Il più delle volte, si tratta di tenere nascosti i loro piccoli segreti sporchi come la mancanza di integrità dei dati o ovviamente la cattiva progettazione del database. Altre ragioni includono:

• Molti prodotti software hanno schemi di database mal progettati.

• Il desiderio di non sostenere il carico di lavoro di supporto.

• Tentativi di forzare i clienti ad acquistare servizi di consulenza per il lavoro di integrazione dei sistemi.

• Il desiderio di massimizzare i costi di uscita per scoraggiare i clienti dalla migrazione ai prodotti della concorrenza.

Sfortunatamente non stai lavorando per il cliente, ma se lo fossi potresti usare una discussione sulla falsariga di scoprire quali difetti architetturali ha il software in modo che esporre lo schema del database possa essere un rischio per la sicurezza.