सुरक्षा जोखिम का कितना हिस्सा वैचारिक स्कीमा प्रकाशित किया जाता है?

15

मैं अपने शोध के लिए सरकारी एजेंसी की सूचना प्रणाली से वैचारिक स्कीमा का अनुरोध कर रहा था। मेरे अनुरोध को सुरक्षा जोखिम के आधार पर अस्वीकार कर दिया गया है।

मेरे पास वास्तव में व्यापक डेटाबेस अनुभव नहीं है इसलिए मैं उस दावे को सत्यापित नहीं कर सकता। क्या अपने स्कीमा का खुलासा करना वास्तव में सुरक्षा जोखिम से बड़ा है? मेरा मतलब है, वे बहुत सार हैं और हार्डवेयर और सॉफ्टवेयर कार्यान्वयन से तलाकशुदा हैं। एक हमलावर कैसे वैचारिक स्कीमा का फायदा उठा सकता है, इसकी व्याख्या की जाएगी। धन्यवाद।

database-design  security 
आरके
स्रोत
क्या आपने एनडीए पर हस्ताक्षर करने की पेशकश की थी?
onedaywhen
यह मेरे स्वामी थीसिस के लिए था। परिणाम प्रकाशित किए जाएंगे, इसलिए नहीं। अगर मुझे एनडीए पर हस्ताक्षर करना है तो यह मेरे लिए अच्छा नहीं होगा।
आरके
यदि यह अमेरिकी सरकार की एजेंसी है, तो आप एफओआईए अनुरोध दाखिल करने पर विचार कर सकते हैं। आपकी प्रोफ़ाइल कहती है कि आप फ़िलीपींस से हैं, जहाँ कानून लंबित है
josh3736
हाँ। एक शर्म की बात है कि हमारे पास अभी तक कानून नहीं है। इससे पहले कि उन्हें उस कानून को पारित करने में कुछ समय लगे। राजनेताओं को यह ज्यादा पसंद नहीं है।
आरके

जवाबों:

12

Gbn (इसलिए +1) से सहमत हैं, लेकिन मुझे लगता है कि खेल में दो अन्य संभावनाएं हैं:

  1. यह बहुत संभव है कि उनके वैचारिक स्कीमा में उनके भौतिक स्कीमा के साथ बहुत अधिक ओवरलैप हो। टेबल नामों को जानने से आपको अपने एसक्यूएल इंजेक्शन हमलों की योजना बनाने में एक अच्छी शुरुआत मिलती है।

  2. यह बहुत संभव है कि उनके पास अपने वैचारिक स्कीमा का दस्तावेजीकरण न हो। संगठन जो प्रोग्रामर्स को अपने स्वयं के डेटाबेस डिजाइन करने देते हैं, उनके डेटाबेस डिजाइन प्रक्रिया में अक्सर कोई कठोरता नहीं होती है, बिना किसी प्रारंभिक डिजाइन के सीधे भौतिक कार्यान्वयन के लिए जा रहे हैं। वे इसे स्वीकार नहीं करना चाह सकते हैं, या वे समय पर नहीं जाना चाहते हैं और एक वैचारिक दस्तावेज को वापस बनाने की परेशानी जो कभी भी समाप्त नहीं हुई है।

संपादित करें: ओपी ने टिप्पणी की है कि उनके वैचारिक स्कीमा के लिए कहा जाने वाला संगठन एक सरकारी एजेंसी है। यह मेरे दिमाग में एक और संभावित संभावना जोड़ता है:

सिविल सेवकों को जोखिम लेने के अपने प्यार के लिए नहीं जाना जाता है और इसलिए एक सरकारी विभाग में एक मध्य-स्तर के अधिकारी को अपनी गर्दन को बाहर करने और जानकारी जारी करने की संभावना नहीं है, अगर यह किसी का ध्यान आकर्षित कर सकता है या आगे पदानुक्रम को बढ़ा सकता है। ।

मुझे अभी भी लगता है कि # 2 सबसे अधिक संभावना है।

जोएल ब्राउन
स्रोत
1
नंबर 2 के लिए +1। कभी द्वेष का गुण नहीं ...
6

मेरा सुझाव है कि यह एक बौद्धिक संपदा जोखिम है, लेकिन वे इसे कहना नहीं चाहते थे

GBN
स्रोत
इतना सुरक्षा जोखिम तो नहीं है?
आरके
सहमत हैं, लेकिन मुझे आश्चर्य नहीं होगा अगर यह डर खत्म हो जाए। बहुत संभावना है कि यह कुछ प्रबंधक की सोच का विषय है "मेरे लिए इसमें कुछ भी नहीं है, इसलिए जोखिम क्यों लें?"
जोएल ब्राउन
मुझे लगता है कि यह अस्पष्टता से सुरक्षा है।
आरके
3

मैं इस बात से पूरी तरह सहमत हूं कि गुप्त सूचना के पीछे वैचारिक स्कीमा को भी गुप्त रखना होगा।

यदि जासूस जानकारी के छोटे tidbits इकट्ठा करते हैं जो किसी तरह दरार के माध्यम से फिसलते हैं, तब भी उन tidbits को संदर्भ में रखने की समस्या बनी हुई है। वैचारिक स्कीमा संदर्भ प्रदान करता है। डेटाबेस में डेटा की सामग्री और फॉर्म से सामग्री अलग-अलग हो सकती है, लेकिन संग्रहणीय स्कीमा सामग्री को डिकोड करने के लिए एक उत्कृष्ट मार्गदर्शिका प्रदान करता है।

कंपनियों के लिए डेटा रिकवरी पर काम करने में, मैंने हमेशा एक विश्वसनीय वैचारिक स्कीमा को सोने की खान माना। यह सुनिश्चित करने के लिए, इन परियोजनाओं में जासूसी शामिल नहीं थी। लेकिन आसानी से देख सकते हैं कि एक ही विश्लेषण कैसे किया जाता है।

वाल्टर मिती
स्रोत
2

बहुत सारे विक्रेता अपने डेटाबेस स्कीमा को अपनी छाती के करीब रखने की कोशिश करते हैं। जैसा कि अक्सर नहीं होता है, यह उनके गंदे छोटे रहस्यों पर एक ढक्कन रखने के बारे में होता है जैसे कि डेटा अखंडता की कमी या स्पष्ट रूप से खराब डेटाबेस डिजाइन। अन्य कारणों में शामिल हैं:

  • कई सॉफ्टवेयर उत्पादों में डेटाबेस स्कीमा खराब तरीके से डिजाइन किया गया है।

  • काम के बोझ का समर्थन नहीं करने की इच्छा।

  • सिस्टम एकीकरण कार्य के लिए परामर्श सेवाओं को खरीदने में ग्राहकों को मजबूर करने का प्रयास।

  • प्रतिस्पर्धा के उत्पादों को स्थानांतरित करने के लिए ग्राहकों को हतोत्साहित करने के लिए निकास लागत को अधिकतम करने की इच्छा।

दुर्भाग्य से आप ग्राहक के लिए काम नहीं कर रहे हैं, लेकिन यदि आप थे तो आप पूछताछ के तर्ज पर एक तर्क का उपयोग कर सकते हैं कि सॉफ्टवेयर में क्या वास्तु दोष हैं ताकि डेटाबेस स्कीमा को उजागर करना एक सुरक्षा जोखिम हो सकता है।

ConcernedOfTunbridgeWells
स्रोत
यदि मेरा प्रश्न स्पष्ट नहीं होता तो मेरी क्षमा याचना। मैं एक सरकारी एजेंसी के डेटाबेस के स्कीमा के लिए पूछ रहा था।
आरके
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.