Quanto de risco à segurança são publicados o esquema conceitual?

Eu estava solicitando os esquemas conceituais do sistema de informações de uma agência governamental para minha pesquisa. Meu pedido foi negado por ser um risco à segurança.

Realmente não tenho uma vasta experiência em banco de dados, portanto não posso verificar essa reivindicação. A divulgação do seu esquema é realmente um grande risco à segurança? Quero dizer, essas são bastante abstratas e divorciadas das implementações de hardware e software. Uma explicação de como um invasor poderia explorar esquemas conceituais seria apreciada. Obrigado.

Concordo com gbn (mais ou menos +1), mas acho que existem outras duas possibilidades em jogo:

1. É bem possível que o esquema conceitual deles tenha muita sobreposição com o esquema físico. Saber os nomes das tabelas fornece uma vantagem decente no planejamento de seus ataques de injeção de SQL.

2. É muito provável que eles não tenham seu esquema conceitual documentado. As organizações que permitem que os programadores projetem seus próprios bancos de dados geralmente não têm rigor no processo de design do banco de dados, indo diretamente à implementação física sem nenhum design inicial. Eles podem não querer admitir isso, ou podem não querer gastar tempo e dificuldade em criar um documento conceitual que nunca existiu.

Edit: O OP comentou que a organização que está sendo solicitada para seu esquema conceitual é uma agência governamental. Isso, em minha opinião, acrescenta outra possibilidade provável:

Os funcionários públicos não são conhecidos por sua paixão por correr riscos e, portanto, é improvável que um funcionário de nível médio de um departamento do governo estique o pescoço para fora e libere informações para o caso de atrair a atenção ou a ira de alguém na hierarquia .

Ainda acho que o 2 é o mais provável.

Eu sugiro que seja um risco de Propriedade Intelectual, mas eles não quiseram dizer isso

Concordo plenamente que o esquema conceitual por trás das informações secretas também deve ser mantido em segredo.

Se os espiões coletam pequenos detalhes de informações que de alguma forma escapam das rachaduras, ainda resta o problema de colocar esses detalhes no contexto. O esquema conceitual fornece o contexto. A forma e o conteúdo dos petiscos coletados podem ser substancialmente diferentes da forma e do conteúdo dos dados no banco de dados, mas o esquema concorrencial fornece um excelente guia para decodificar o material.

Ao trabalhar na recuperação de dados para empresas, sempre considerei um esquema conceitual confiável uma mina de ouro. Certamente, esses projetos não envolviam espionagem. Mas pode ver facilmente como a mesma análise é transmitida.

Muitos fornecedores tentam manter seus esquemas de banco de dados próximos ao seu peito. Na maioria das vezes, trata-se de ocultar seus pequenos segredos sujos, como a abjeta falta de integridade dos dados ou, obviamente, o mau design do banco de dados. Outras razões incluem:

• Muitos produtos de software possuem esquemas de banco de dados mal projetados.

• Um desejo de não incorrer em carga de trabalho de suporte.

• Tentativas de forçar os clientes a comprar serviços de consultoria para o trabalho de integração de sistemas.

• O desejo de maximizar os custos de saída para desencorajar os clientes de migrar para os produtos da concorrência.

Infelizmente você não está trabalhando para o cliente, mas, se estivesse, poderia usar um argumento ao longo das linhas de indagação sobre quais falhas arquiteturais o software possui para que expor o esquema do banco de dados possa ser um risco à segurança.